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(54) Title: TRANSACTION METHOD USING A MOBILE DEVICE 


(54) Bezeichnung: TOANSAKTIONSVERFAHREN MIT EINEM MOBILGERAT 
(57) Abstract 

The invention relates to a method of transaction between 
a customer and a terminal (2) which is connected to a 
telecommunication network, wherein at least one customer 
identification (IDUI). a terminal identification (POSID) and 
transaction specific data (A) are transmitted to a financial server 
(4) connected to a telecommunication network. The terminal 
ID is read in the terminal or detected in the terminal and 
transmitted to the financial server by the above-mentioned 
telecommunication network. TTie customer is provided with a 
SIM card (10) which can be functionally connected to a mobile 
device. The customer identification which is transmitted to the 
financial server is read in the SIM card memory and transmitted 
to the financial server. 


(57) Zusammcnfassung 


Das Transaktionsverfahren zwischen einem Kunden und 
einem mit einem Tclekommunikationsnetz verbundenen Ter- 
minal (2) umfasst die Obermittlung von mindestens einer 
Kundenidentifizierung (IDUI). einer Terminal-Identifiziemng 
(POSID) und transaktionsspezifische Daten (A) an einen mit 
dem Telekommunikationsnetz verbundenen Finanzserver (4). 
Die Terminal-Identifizierung wird im Terminal gelesen oder er- 
fasst und durch das genannte Telekommunikationsnetz an den 
Finanzserver tibermittelt Der Kunde ist mit einer SIM-Karte 
(10) ausgerUstet, die funktionell mit einem MobilgerSt verbun- 
den werden kann. Die Kundenidentifizierung. die an den Fi- 
nanzserver ubermittelt wird, wird im Speicher der SIM-Karte 
gelesen und (iber mindestens eine Luftschnittsielle an den Fi- 
nanzserver ilbenmittelt. 
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Transaktionsverfahren mit einem Mobiiger^t 

Die vorliegende Erfindung betrifft ein Verfahren und ein System zur 
Obemnittlung von AuftrSgen in einem Telekommunikationsnetz. Die Erfindung 
betrifft insbesondere, aber nicht ausschliesslich, die Obermittlung von Auftra- 
5 gen in einem Mobilfunknetz. 

Gemass dem bisherigen Stand der Technik werden Transaktionen 
zwischen einem Kunden (oder Client, C) und einem Terminal, hier Point-of- 
Transaktion (POT) genannt, zum Beispiel einem Point-of-Sale (POS). oft mit 
einer elektronischen Zahlungskarte ausgefuhrt. Debit- und Kreditkarten werden 

10 zum Beispiel an Kassen in Geschaften, bei Tankstellen, usw. verwendet. Die 
Karte umfasst meistens Speichermittel, zum Beispiel einen Magnetstreifen 
und/oder ein Chip, in welchem unter anderem die Identifizierung des Kunden 
gespeichert ist. Um eine Transaktion mit dem Besitzer oder Betreiber eines 
POT zu tatigen, zum Beispiel um einen Artikel in einem GeschSft zu bezahlen, 

15 muss der Kunde seine Karte in einen geeigneten Kartenleser im POT-Gerat 
einschieben. Der POT liest dann die Identifizierung des Kunden in der Karte, 
ermittelt und zeigt den zu bezahlenden Betrag an, pruft gegebenenfalls die 
Solvenz des Kunden und fordert vom Kunden, dass er die Transaktion mit ei- 
ner Bestatigungstaste auf dem POT-Gerat bestatigt. Wenn der Kunde solvent 

20 ist und seine BestStigung eingegeben hat, werden die Kundenidentifizierung, 
der zu bezahlende Betrag und evtl. auch eine POT- Identifizierung an einen 
durch ein Telekommunikationsnetz mit dem POT verbundenen Finanzserver 
ubermittelt, der von einem Finanzinstitut verwaltet wird. Entsprechend wird 
sofort Oder spSter das Konto des Kunden bei diesem Finanzinstitut belastet. 

25 Nachteilig in diesem Verfahren ist die Notwendigkeit, die Karte des 

Kunden in ein fremdes GerSt einschieben zu mussen. Die Kunden haben nor- 
malerweise ihre Karte nicht zur Hand, dafur zum Beispiel im Portemonnaie; 
eine sehr schnelle Transaktion ist also nicht mSglich. Gelegentlich ist auch die 
Offnung zum Einfuhren der Karte in das Lesegerat des POT nicht leicht zu- 

30 ganglich; dies ist besonders dann der Fall, wenn der POT ein Ticketautomat fur 
Parkhauser oder ein Zahlungsautomat ist, der vom Automobilisten ohne Aus- 
steigen aus dem Wagen bedient werden soli. Ausserdem konnen betrugerische 
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Handlungen Oder nicht berechtigte Lesungen von Speicherbereichen der Karte 
im POT durchgefuhrt werden. 

Soger wenn heutzutage gewisse Chipkarten einen Mikroprozessor 
enthalten, sind diese Debit- und Kreditkarten im Wesentlichen passive Ele- 
5 mente, die Daten speichern, die im Wesentlichen von der Elektronik des POT 
gespeichert und benutzt werden. Der Kunde dagegen hat normalerweise keine 
Moglichkeit. direkt auf die Daten Zugriff zu nehmen, ohne sich an einen Schal- 
ter Oder an einen Automaten des betreffenden Finanzinstituts, das die Karte 
herausgibt, zu begeben. Fur den Kunden ist es also schwierig, die mit der 
10 Karte durchgefuhrten Transaktionen zu kontroHieren oder daruber Buch zu fuh- 
ren. 

Diese Karten enthalten eine Kundenidentifizierung, die es indes nur 
erlaubt, die Kunden beim herausgebenden Finanzinstitut identifizieren zu las- 
sen. Eine Karte kann also normalenveise nur fur eine finanzielle Transaktion 

15 benutzt werden, wenn der Kunde und der POT-Betreiber beim gleichen 
Finanzinstitut affiliert sind. Dagegen ist der Gebrauch der Karte fur andere 
Arten von Transaktionen - zum Beispiel fur nicht finanzielle Transaktionen, fur 
die aber die zuverlassige Identifizierung des Kunden/Kartenbesitzers bendtigt 
wird - nicht vorgesehen. Fur den Kunden ist es also unumganglich, eine grosse 

20 Anzahl von Karten, fur jegliche Arten von finanziellen oder nicht finanziellen 
Transaktionen zu besitzen, zum Beispiel mehrere Debit- oder Kreditkarten, die 
von verschiedenen Finanzinstituten oder Ladenketten verwaltet werden, oder 
Abonnementskarten oder Zugangskarten fur geschutzte Zonen. Diese Karten 
sind meistens durch verschiedene Pin-Codes geschutzt, die sich der Kunde 

25 mCihsam einpragen muss. 

Im Falle eines Diebstahles oder einer betrugerischen Handlung mit 
der Karte, muss diese gesperrt werden. Die Sperrung kann jedoch erst erfol- 
gen, wenn die Karte in ein entsprechendes Gerat eingefuhrt wird. Die gewQhn- 
lichen Kreditkarten kSnnen jedoch weiterhin in manuell bedienten Apparaten 
30 gebraucht werden; eine sichere Sperrung der Karte ist also nicht moglich. 
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Ausser Debit- und Kreditkarten kennt man die sogenannten e-cash- 
Karten, welche es ermoglichen, Geldbetrage elektronisch zu speichern, welche 
anschliessend an verschiedenen POT-Stellen als Zahlungsmittel akzeptiert 
werden. Um diese Karten emeut mit Geldbetragen versehen zu lassen, muss 
5 der Kunde am Schalter Oder Automaten eines Finanzinstitutes vorstellig wer- 
den, was auch nicht immer moglich ist. 

Eine Aufgabe der vorliegenden Erfindung ist es, ein Verfahren Oder 
System vorzuschlagen, das eriaubt, diese Probleme zu vermeiden. 

Eine weitere Aufgabe der vorliegenden Erfindung ist es, ein Trans- 
10 aktionsverfahren vorzuschlagen, das sowohl fur finanzielle als auch fur nicht 
finanzielle Transaktionen geeignet ist, und das einfacher und zuveriassiger ist, 
als die gewShnlichen Transaktionsverfahren. 

Gemass der vorliegenden Erfindung werden diese Ziele insbeson- 
dere durch die Elemente des kennzeichnenden Teils der unabhangigen An- 
15 spruche erreicht. Weitere vorteilhafte Ausfuhrungsformen gehen ausserdem 
aus den abhangigen Anspruchen und der Beschreibung hervor. 

Insbesondere werden diese Ziele durch ein Transaktionsverfahren 
zwischen einem Kunden und einem mit einem Telekommunikationsnetz ver- 
bundenen POT-Gerat (zum Beispiel ein Point-of-Sale, POS) erreicht, wobei 

20 das Verfahren die Ubermittlung von mindestens einer Kundenidentifizierung, 
einer POT-ldentifizierung und transaktionspezifischen Daten an einen mit dem 
Telekommunikationsnetz verbundenen Server umfasst, wobei der Kunde mit 
einem identifizierungselement ausgerCistet ist, das funktionell mit einem Mobil- 
gerat kooperieren kann, zum Beispiel mit einer^SIM-Karte in einem Mobilgerat, 

25 wobei eine Kundenidentifizierung im Mobilsystem im Speicher des Identifizie- 
rungselements gespeichert ist, wobei die POT-ldentifizierung im Gerat gelesen 
Oder erfasst wird und durch das Telekommunikationsnetz an den Server uber- 
mittelt und wobei die Kundenidentifizierung uber mindestens eine Luftschnitt- 
stelle an den Server ubermittelt wird. 
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Die Kundenidentifizierung wird vorzugsweise mit der im POT-Gerat 
gelesenen oder erfassten POT-GerStidentifizierung und mit transaktionspezi- 
fischen Daten in einem elektronischen Transaktionsbeleg verknupft, der durch 
des genannte Telekommunikationsnetz und uber eine Clearingeinheit an den 
5 Server ubermittelt wird. 

Der Server kann vorzugsweise uber eine Luftschnittstelle, zum Bel- 
spiel durch ein Mobilfunknetz, mit dem Mobilsystem (zum Beispiel ein Mobilge- 
rat mit einer Identifizierungskarte) kommunizieren. Wenn die Transaktion eine 
finanzielle Transaktion ist, kann dadurch ein im Mobilgerat gespeicherter Geld- 
10 betrag aus dem Server mit uber die Luftschnittstelle ubemnittelten elektroni- 
schen Meldungen nachgeladen werden. Der Geldbetrag wird vorzugsweise in 
einer Standardwahrung definiert. 

Die kontaktlose Gbertragung zwischen dem Mobilsystem und dem 
POT-Gerat kann beispielsweise durch eine in der Identifizierungskarte oder im 
15 Mobilgerat integrierte elektromagnetische Schnittstelle, zum Beispiel in Form 
einer induktiven Spule, oder durch ein infrarotes Sender-Empfanger-System 
erfolgen. 

Die Transaktionsbelege werden vorzugsweise mit einem symmetri- 
schen Algorithmus verschlusselt, bevor sie an den Server weitergeleitet wer- 

20 den, wobei der symmetrische Algorithmus einen mit einem asymmetrischen 
Algorithmus verschlusselten Session-SchlCissel benutzt. Die Transaktionsbe- 
lege werden vorzugsweise ausserdem zusatzlich zertifiziert, bevor sie an den 
Finanzserver weitergeleitet werden. Vorzugsweise wird eine end-to-end-gesi- 
cherte Obertragungsstrecke zwischen dem Mobilsystem und dem Finanzserver 

25 gewahrleistet. 

Die vorliegende Erfindung wird mit Hilfe der als Beispiel gegebenen 
Beschreibung besser verstandlich und durch die beiliegenden Figuren veran- 
schaulicht : 

Die Figur 1 zeigt ein Blockschema, das den Informationsfluss in ei- 
30 ner ersten Ausfuhrungsform des Systems der Erfindung zeigt, wobei der Kunde 
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mit einem Mobilfunktelefon ausgerustet ist, vorzugsweise ein GSM-Mobilgerat, 
das spezielle Kurzmeldungen empfangen und senden kann. 

Die Figur 2 zeigt ein Blockschema, das den Informationsfluss in ei- 
ner zweiten Ausfuhrungsform des Systems der Erfindung zeigt, wobei der 
5 Kunde mit einem Mobilfunktelefon ausgerustet ist, vorzugsweise ein GSM- 
Mobilgerat, das spezielle Kurzmeldungen empfangen und senden kann, und 
wobei das POT-Gerat ein Internet- oder Intranet-taugliches Gerat ist. 

Die Figur 3 zeigt ein Blockschema, das den Informationsfluss in ei- 
' ner dritten Ausfuhrungsform des Systems der Erfindung zeigt, wobei der Kunde 
10 mit einem Transponder ausgerustet ist, der mindestens spezielle Kurzmeldun- 
gen bearbeiten kann, und wobei das POT-Gerat spezielle Kurzmeldungen, zum 
Beispiel SMS- oder USSD-Kurzmeldungen, empfangen und/oder senden kann. 

Die Figur 4 zeigt ein Blockschema, das den Informationsfluss in ei- 
ner vierten Ausfuhrungsform des Systems der Erfindung zeigt, wobei der 
15 Kunde mit einem Transponder ausgerustet ist, der mindestens einen Teil der 
SICAP-Prozeduren ausfuhren kann, und wobei das POT-GerSt ein Intemet- 
oder Intranet-taugliches GerSt ist, das spezielle Kurzmeldungen, zum Beispiel 
SMS- Oder USSD-Kurzmeldungen. empfangen und/oder senden kann. 

Die Figur 5 zeigt ein Flussdiagramm eines Zahlungstransaktions- 
20 verfahrens gemSss der Erfindung. 

Die Figur 6 zeigt ein Flussdiagramm eines Nachladetransaktions- 
verfahrens einer SIM-Karte, gemSss der Erfindung. 

Die Figur 7 zeigt ein Blockschema, das den Informationsfluss in ei- 
ner funften Ausfuhrungsform des Systems der Erfindung zeigt. 

25 Die Figur 8 zeigt ein Blockschema, das den Informationsfluss in ei- 

ner sechsten Ausfuhrungsform des Systems der Erfindung zeigt. 
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Die Figur 9 zeigt ein Blockschema, das den Informationsfluss in ei- 
ner siebten Ausfuhrungsform des Systems der Erfindung zeigt. 

Die Figur 10 zeigt ein Blockschema, das die Signierung von Mel- 
dungen erklart. 

5 Die Figur 1 1 zeigt ein Blockscliema, das die Uberprufung der 

Signatur erklart. 

Die Figur 12 zeigt ein Blockschema, das die Signierung und die 
Uberprufung der Signatur erklart. 

Die Figur 13 zeigt ein Blockschema, das die VerschlQsselung der 
10 Meldungen erklart. 

Das auf den Figuren 5 und 6 dargestellte Verfahren kann mit jedem 
beliebigen System, das auf den Figuren 1 bis 4 dargestellt ist, ausgefuhrt wer- 
den. Die erste und die zweite Variante benotigen beide ein Mobilgerat oder 
eine SIM-Karte mit einer zusStzlichen infraroten oder induktiven Schnittstelle, 
1 5 die spdter ndher beschrieben wird. 

Die Figur 1 zeigt den Infomiationsfluss in einer ersten Ausfuhrungs- 
form der Erfindung. Der Kunde ist mit einem Mobilsystem ausgerustet, in die- 
sem Fall mit einem GSM-Mobilgerat 1. Das Mobilgerat 1 enthalt eine Identifi- 
zierungskarte 10, zum Beispiel eine SIM-Karte, mit der der Kunde im Netz 6, 

20 vorzugsweise ein GSM-Netz, identifiziert wird. Die SIM-Karte weist einen kon- 
ventionellen Mikrokontroller 100 auf, welcher in den Kunststofftrager der Karte 
eingelassen ist und fur die GSM-Funktionalitaten der Karte zustandig ist - wie 
sie zum Beispiel im Artikel « SIM CARDS » von T. Grigorova und I. Leung be- 
schrieben werden, welcher im « Telecommunication Journal of Australia », Vol 

25 43, No. 2, 1993, auf den Seiten 33 bis 38 erschienen ist - und fur neue Funk- 
tionalitdten, welche zu einem spdteren Zeitpunkt auf die SIM-Karten geladen 
werden. Die SIM-Karte weist ausserdem nicht dargestellte Kontaktmittel auf, 
uber welche die Karte mit dem Mobilgerat 1 kommuniziert, in welchem sie ein- 
gefCihrt ist. 


wo 98/37524 


PCT/CH98/00086 


7 

Die SIM-Karte weist ausserdem einen zweiten Prozessor 101 (CCI, 
Contactfree Chipcard Interface) auf, welcher fur die kontaktlose Verbindung mit 
dem POT-Gerat 2 zustSndig ist, Der zweite Prozessor fuhrt unter anderem die 
welter unten beschriebenen TTP (Thrusted Third Party)"Funktionen aus, urn 
5 chiffrierte und signierte Meldungen zu empfangen und zu senden. Eine logi- 
sche Schnittstelle 102 verbindet die beiden Prozessoren 101 und 102. 

Die kontaktlose Schnittstelle mit dem POT-Gerat 2 kann beispiels- 
weise mindestens eine in der SIM-Karte integrierte und mit dem zweiten Pro- 
zessor 101 verbundene Spule aufweisen (nicht dargestellt). mit der Daten in 

10 beiden Richtungen uber eine Funkstrecke induktiv ubertragen werden. Eine 
induktive Spule kann in einer Variante auch im Gehause des Mobilgerats inte- 
griert werden. In einer dritten Variante umfasst die kontaktlose Schnittstelle 
einen infraroten Sender-Empfanger an die Gehause des Mobilgerats. Die kon- 
taktlose Kommunikation zwischen den beiden Geraten wird vorzugsweise ver- 

15 schlusselt. zum Beispiei mit einem DEA-, DES-. TDES- RSA- Oder ECC- 
Sicherheitsalgorithmus. 

Bei einer induktiven Signaltibermittlung vom POT zur Chipkarte wird 
vorzugsweise ein Phasenmodulations-Verfahren eingesetzt, wahrend in der 
umgekehrten Richtung vorzugsweise die Amplitude der Signale moduliert wird. 

20 Die SIM-Karte enthSIt vorzugsweise ein Sonderfeld IDUl 

(International Debit User Identification), mit dem der Kunde vom POT-Betreiber 
und/oder von einem Finanzinstitut identifiziert wird. Die Identifizierung IDUl 
wird vorzugsweise in einem gesicherten Speicherbereich eines der beiden 
Prozessoren 101, 102 gespeichert. Die IDUl enthSIt mindestens eine Identifi- 

25 zierung vom Netzbetreiber, eine Benutzernummer, die ihn von anderen Kunden 
beim selben Netzbetreiber identifiziert, eine Benutzerklassenangabe, die defi- 
niert, welche Dienste er benutzen darf, und optional noch eine Landidentifizie- 
rung. Ausserdem enthSlt die IDUl Sicherheitsdaten, unter anderem einen 
TransaktionszShler Tz, ein Lade-Token LTc, und ein Time-Out-Feld TO, das 

30 die Validierungszeit angibt. Die Funktion von diesen verschiedenen Daten wird 
spater eriautert. 
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Das symbolisch dargestellte POT-Gerat 2 ist ebenfalls mit einem 
kontaktlosen Sender-Empfanger 20 versehen, zum Beispiel mit einer indukti- 
ven Spule oder mit einem infraroten Sender-Empfanger. Dank dieser Schnitt- 
stelle kann das Mobilsystem 1.10 kontaktlos mit dem GerSt 2 in beiden Rich- 
5 tungen kommunizieren. 

Das Terminal oder POT-GerSt 2 kann zum Beispiel ein speziell mit 
einer Funkschnittstelle 20 ausgerusteter Point-of-Sale (POS) in einem Ge- 
schaft sein. Das POT-Gerat 2 kann aber auch fur nicht finanzielle Anwendun- 
gen bestimmt sein, zum Beispiel als Schlussel fur eine Zutrittskontrolle-Vor- 

10 richtung (« elektronischer Pfortner »), die das Kommen und Gehen in einer ge- 
schutzten Ortlichkeit erlaubt, zum Beispiel in einem Hotelzimmer, in einem Be- 
trieb, im Theater, in Kinos oder innerhalb eines Attraktionsparkes. Das POT- 
Gerat wird mit einem Sonderfeld POSID (Point Of Sale identification) identifi- 
ziert. Die POSID hangt von der Anwendung ab ; im Falle einer Geschaftskasse 

15 enthalt sie eine Identifiziemng vom Netzbetreiber, eine Areaidentifizierung 
(Teilgebiet in einem Land), eine POS-Nummer, die ihn von anderen POS beim 
selben Netzbetreiber identifiziert, eine POS-Klassenangabe, die definiert, wel- 
che Dienste er benutzen oder anbieten darf, das Datum, die Zeit, die benutzte 
Wahrung (SDR, Euro oder Dollars) und optional noch eine Landesidentifizie- 

20 rung. 

Das POT-Gerat 2 wird vorzugsweise mit nicht dargestellten Daten- 
eingabe-Mitteln versehen, zum Beispiel mit einer Tastatur, und mit nicht darge- 
stellten Datenanzeige-Mittein, zum Beispiel mit einem Bildschirm. 

Die IDUI-ldentifizierung wird dem POT uber die kontaktlose Schnitt- 
25 stelle 10/101 ubertragen, und im POT-Gerat mit der POSID und mit zusfltzli- 
chen transaktionspezifischen Daten, zum Beispiel mit dem erfassten Debitbe- 
trag A, verknupft, so dass ein elektronischer Transaktionsbeleg entsteht, der 
mit einem TTP (Trusted Third Party)- oder PTP (Point-to-Point)-Prozess ver- 
schlusselt und signiert wird. Zusatzliche ErklSrungen uber das TTP-Verfahren 
30 werden spater als Anhang angegeben. 

Der Transaktionsbeleg wird dann uber ein nicht dargestelltes 
Modem und durch das Kommunikationsnetz 5, zum Beispiel durch ein offentii- 
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ches Fix-Netz 5 Oder durch ein Mobilfunknetz an die ebenfalls mit dem Netz 
verbundene Clearingeinheit 3 ubermittelt. Diese empfSngt die eiektronisclien 
Belege von verschiedenen POT-Geraten 2, unabhangig vom Land Oder Ver- 
kehrsbereich, und unabhangig vom Land Oder Finanzinstitut des Kunden. In 
5 der Clearingeinheit 3 werden diese Transaktionsbelege nach Finanzinstitut, 
eventuell auch nach Operator, geordnet und den entsprechenden Finanzinsti- 
tuten zugestellt. Clearingeinheiten an sich sind in der GSM-Technik schon be- 
kannt und werden beispielsweise fur das Sammein und fur die Weiterverteilung 
von Verbindungskosten verwendet. Die Clearingeinheit kann beispielsweise 
10 eine Datenbank enthalten, die angibt, mit welchem Finanzinstitut der vorher mit 
seinem IDUl identifizierte Kunden affiliert ist. 

Die durch die Clearingeinheit 3 behandelten elektronischen Trans- 
aktionsbelege werden an den Finanzserver 4, 4' Oder 4" des entsprechenden 
Finanzinstituts weitergeleitet. Im Finanzserver werden die eingereichten 

15 Transaktionsbelege zuerst entschlusselt und in einem Zwischenspeicher 43 
gespeichert. Ein Abgleichmanagement-Modul 42 schreibt dann den vom Kun- 
den signierten Betrag den entsprechenden Bankkonten 420, 420* und/oder 
420" des POT-Betreibers gut. Diese Konten konnen durch dasselbe Oder durch 
ein anderes Finanzinstitut verwaltet werden. Das Abgleichmanagement-Modul 

20 fuhrt ausserdem Kontrolibuchungen zum Konto des Kunden durch. Entspre- 
chend wird das Konto 41 des Kunden beim Finanzinstitut belastet, Oder werden 
die Transaktionsdaten fur eine spatere Kontrolle gespeichert. Der Finanzserver 
enthalt ausserdem einen TTP-Server 40, urn Belege und Meldungen mit dem 
TTP (Thrusted Third Party)-Algorithmus zu chiffrieren und zu signieren. 

25 Ausserdem ist jeder Finanzserver 4 mit einem SIM-Server 70 verbunden, zum 
Beispiel mit einem SICAP-Server. Das SICAP-Verfahren wurde unter anderem 
im Patent EP689368 beschrieben, und eriaubt, Dateien, Programme und auch 
Geldbetrage zwischen dem SICAP-Server 70 und der SIM-Karte 10 im Mobil- 
gerat 1 uber das fiffentliche GSM-Netz 6 auszutauschen (Pfeil 60). Andere 

30 Ubertragungsprotokoile kSnnen auch fur die Datenubertragung zwischen dem 
SIM-Server und den SIM-Karten angewendet werden. Dadurch kann beispiels- 
weise Geld auf der SIM-Karte 10 nachgeladen werden, wie spater naher be- 
schrieben. Der SIM-Server 70 ermoglicht ausserdem die gesteuerte Kommuni- 
kation zwischen dem Kunden und dem TTP-Server 40 beim Finanzinstitut 
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Die Figur 2 zeigt den Informationsfluss in einer zweiten Ausfuh- 
rungsform der Erfindung. Der Kunde ist ebenfalls in dieser Variante mit einem 
Mobilsystem ausgerustet, zum Beispiei mit einem GSM-Funktelefon 1 mit einer 
SIM-Karte, vorzugsweise mit einer SICAP-tauglichen SIM-Karte. Ebenfalls ist 
5 eine induktive Oder infrarote Schnittstelle im Mobilsystem 1 enthalten, mit der 
eine kontaktlose Verbindung mit dem POT-Gerat 2 durchgefuhrt werden kann. 
Daten und/oder Programme konnen auf diese Weise in beiden Richtungen 
zwischen dem POT-GerSt 2 und der SIM-Karte 10 im Mobilsystem ausge- 
tauscht werden. 

10 Das POT-Gerat 2 ist aber in diesem Fall ein Rechner, der vorzugs- 

weise mit einem Netz, zum Beispiei im Internet oder einem Intranet, verbunden 
ist. Verschiedene Informationen oder Angebote. zum Beispiei Produkt-Ange- 
bote, konnen beispielsweise mit einem geeigneten Menu auf dem Bildschirm 
des Rechners 2 offeriert werden. Der Kunde kann diesen Rechner mit seinem 

15 Mobilgerat steuern. Beispielsweise kann er die Position eines Cursors in einem 
Menu von zum Verkauf angebotenen Produkten oder Informationen durch Be- 
tatigen der Cursor-Verschiebetasten auf der Tastatur 1 1 seines Mobiltelefons 
steuern. Die Cursor-Verschiebeinstruktionen werden uber die kontaktlose 
Schnittstelle 101 , 20 zum Rechner 2' gesendet. Der Benutzer betatigt eine 

20 Bestatigungstaste, zum Beispiei die Taste # auf seiner Tastatur, um die aus- 
gewahlte MenCioption zu bestStigen, zum Beispiei um ein Produkt zu bestellen. 

Die im Mobilsystem 1,10 gespeicherte Kundenidentifizierung wird mit 
der POT-Gerat-ldentifizierung und mit den der angewahlten Menuoption ent- 
sprechenden transaktionsspezifischen Daten in einem elektronischen Trans- 

25 aktionsbeleg verknupft, TTP-oder PTP-verschlusselt und signiert. Der Trans- 
aktionsbeleg enthSIt vorzugsweise eine aus der SIM-Karte 10 gewonnene 
Kundenidentifizierung IDUl, eine der angewahlten Menuoption entsprechende 
Lieferantenidentifizierung, und eine der angewahlten Menuoption entspre- 
chende Produktidentifizierung, vorzugsweise im Flexmart-Format wie in der 

30 Patentanmeldung PCT/CH96/00464 vorgeschlagen. Dieser Beleg wird durch 
ein Flexmart-Modul 21 ermittelt. Das Flexmart-Modul ist vorzugsweise eine vom 
Rechner 2' ausgefuhrte Software- Anwendung. 
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Analog zur ersten Ausfuhrungsform wird dann der elektronische 
Transaktionsbeleg an den entsprechenden Finanzserver 4, 4' Oder 4" durch die 
Clearingeinheit 3 ubermittelt und dort verarbeitet. 

Die Figur 3 zeigt den Infomriationsfiuss in einer dritten Ausfuhrungs- 
5 form der Erfindung. Der Kunde ist in dieser Variante nicht mit einem kompletten 
Mobiigerat ausgerustet, sondern nur mit einem Transponder 10\ der zum Bei- 
spiel in einer Chipkarte Oder in irgendeinem Gerdt, wie beispielsweise einer 
Uhr, einem Sclilusselring Oder einem Fingerring, integriert werden kann, Der 
Transponder k6nnte auch in einer Fernsteuerung, zum Beispiel in einer infra- 
10 roten Fernsteuerung, integriert sein und durcii diese Fernsteuerung mit dem 
POT-Gerat 2 kommunizieren. Der Transponder 10' enthSIt einen ersten Pro- 
zessor 100\ mit dem spezielle Kurzmeldungen, zum Beispiel SMS- Oder 
USSD-Kurzmeldungen, gesendet, empfangen und verschlusselt werden kon- 
nen. In einer bevorzugten Variante enthalt der erste Prozessor 100' SICAP 
15 und/oder TTP-Module, mit dem Dateien und Programme durch SMS- oder 
USSD-Kurzmeldungen mit einem Server 7 ausgetauscht werden konnen. Der 
erste Prozessor 100' enthalt aber keine Mobilfunk-Funktionen und der Trans- 
ponder kann daher nicht als SIM-Karte in einem Mobilfunkgerat angewendet 
werden. 

20 Ein zweiter Chip 101 (CCI, Contactfree Chipcard Interface) ist mit 

dem Chip 100' durch eine Schnittstelle 102 verbunden und ist fur die kontakt- 
lose Verbindung mit dem GerSt 2 zustSndig. Es ist natCirlich auch mfiglich, ei- 
nen einzigen Chip zu benutzen, der beide Teilfunktionen erfullt. Die kontakt- 
lose Verbindung erfolgt in diesem Fall vorzugsweise mit mindestens einer 

25 induktiven Spule im Transponder 10'. 

Das POT-Gerat 2" umfasst in diesem Fall einen Sender-EmpfSnger 
20, um kontaktlos mit dem Transponder 10' zu kommunizieren, Datenverarbei- 
tungsmittel 23 mit einer Tastatur 1 1 und einem Mobilfunkgerat 24, vorzugs- 
weise ein reduziertes GSM-Gerat, das nur spezielle Kurzmeldungen, wie zum 
30 Beispiel SMS- Oder USSD-Kurzmeldungen, empfangen und senden kann. Die 
Tastatur dient als Eingabemittel fur den Kunden. 
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Das im POT-Gerat integrierte und auf die Ubertragung von Kurzmel- 
dungen reduzierte GSM-Gerat 24 ermoglicht die Ubermittlung von Meldungen 
durch das Mobilfunknetz 6 zwischen dam Transponder 10' und einer ersten 
Anwendung im SIM-Server 7, und dadurch den verschlusselten Nachlade- bzw. 
5 Checkup-Prozess (Pfeil 60) und den Belegetransfer (Pfeil 61) vom Kunden zu 
einer SIM-Server-Anwendung 71 im SIM-Server 7, beispielsweise in einem 
SICAP-Server. In einer Variante kOnnen der verschlusselte Nachlade- bzw. 
Checkup-Prozess und der Belegtransfer auch uber ein Modem Oder einen 
ISDN-Anschluss 22 und ein Fixnetz 5 erfolgen. 

10 Die Meldungen und Belege werden dann uber die kontaktlose 

Schnittstelle 101/20 und uber die Mobilfunkstrecke 60, 61 durch das Mobil- 
funknetz 6 ubertragen. 

Die Figur 4 zeigt den Informationsfluss in einer vierten Ausfuh- 
rungsform der Erfindung. Der Kunde ist. wie in der dritten Variante, nicht mit 

15 einem kompletten Mobilgerat ausgerustet. sondem nur mit einem Transponder 
10'. Das POT-Gerat 2"' ist, wie bei derzweiten Ausfuhrungsform, mit Daten- 
verarbeitungsmitteln 2' verbunden, die uber ein Flexmart-Modul 21 verfugen. 
Der Kunde kommuniziert mit dem SIM-Server 7 durch ein eingeschranktes 
Mobilfunkgerat 24, zum Beispiel ein auf die Obertragung von speziellen SMS- 

20 Oder USSD-Kurzmeldungen reduziertes GSM-Gerat 24 im GerSt 2"'. Die ande- 
ren Funktionen sind analog wie in der dritten Ausfuhrungsform. 

Mit dem Flexmartmodul 21 kfinnen Auftragsmeldungen in einem 
standardisierten Format fur einen Produkt- Oder Informations-Lieferanten vor- 
bereitet werden. wie in der Patentanmeldung PCT/CH96/00464 beschrieben. 

25 Ein Zahlungstransaktionsverfahren wird jetzt mit Hilfe der Figur 5 

naher beschrieben. Dieses Verfahren kann auf beliebige Ausfuhrungsformen 
der Erfindung gemSss den Figuren 1 bis 4 angesetzt werden. Dieser Ablauf ist 
jedoch allgemein gultig und nicht auf GSM-Prozesse beschrdnkt. 

Die erste Kolonne in Figur 5 zeigt die Verfahrensschritte, die haupt- 
30 sachlich das Mobilsystem 1 des Kunden involvieren ; die zweite beschreibt die 
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Verfahrensschritte, die vom POT-Gerat 2 ausgefuhrt werden ; die dritte betrifft 
die Operationen vom Finanzserver 4 und die vierte die Effekte auf die ver- 
schiedenen Konten beim Finanzinstitut. Es muss aber bemerkt werden, dass 
viele Verfahrensschritte entweder mit dem Mobilsystem 1 , zum Beispiel als 
5 Prozess innerhalb der SIM-Karte 10, Oder im POT-Gerat 2 ausgefuhrt werden 
konnen. Zum Beispiel kann die Dateneingabe entweder mit dem POT oder mit 
dem Mobilsystem 1 erfolgen, wenn dieses eine Tastatur enthalt, wie zum Bei- 
spiel ein GSM-Mobilgerat. 

Dieses Verfahren setzt im Schritt 200 voraus, dass die Identifizie- 
10 rungskarte 10 des Kunden, hier eine Wertkarte, mit einem Geldbetrag (e-cash) 
geladen ist. Wertkarten sind an sich schon bekannt ; wir werden spater in 
Bezug auf Figur 6 nSher eriautern. wie der Geldbetrag nachgeladen werden 
kann. Ausserdem beschreibt die Patentanmeldung EP9681 0570.0 ein Verfah- 
ren, um SIM-Karten mit einem Geldbetrag nachzuladen. 

15 Das Mobilsystem 1 bzw. 10 wird im Schritt 201 funktionsbereit ge- 

schaltet, zum Beispiel mit dem Einschalten des Mobilgerates. Ebenso wird im 
Schritt 202 das POT-GerSt 2 aktiviert. Das POT-Gerat 2 ruft dann im Schritt 
203 in einem Broadcastverfahren den nachsten, unbestimmten Kunden auf 
(Kartenpaging). 

20 Wenn die Verbindung zwischen dem POT-Gerat und dem Mobil- 

system 1,10 hergestellt worden ist, ubergibt im Schritt 204 das Mobilsystem 
dem POT-Gerat seine Identifizierung IDUl (International Debit User 
Identification) und die BestStigung, dass er solvent ist. Ob die Solvenz aus- 
reicht, kann in diesem Moment noch nicht entschieden werden. 

25 Das POT-Gerat 2 enthalt eine vorzugsweise vom Finanzserver 4 

periodisch aktualisierte Schwarzliste uber zu spen-ende Kunden. Die vom Kun- 
den ubermittelte IDUl wird mit der Schwarzliste verglichen (Schritt 205). Wenn 
die vom Kunden ubergebene IDUl in der Schwarzliste gefunden wird (Schhtt 
206), wird ein Blockierflag im Schritt 207 gesetzt. Wenn keine Obereinstim- 

30 mung gefunden wird, konnen auf der Tastatur 1 1 des POT-GerSts 2 die trans- 
aktionspezlfischen Daten, zum Beispiel ein zu bezahlender Debit-Betrag A, 
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eingegeben werden. In einer Variante kann der Betrag A auch auf der Tastatur 
des Mobilgerats 1 eingegeben werden. Das POT-GerSt 2, Oder in einer Vari- 
ante die SIM-Karte 10, verknupft dann diese transaktionspezifischen Daten mit 
der Identifizienjng des POT-GerSts 2 und der IDUl, und sendet diese Bela- 
5 stungsaufforderung dem Kunden. Vorzugsweise wird ausserdem noch eine 
ReferenzwShrung. wie zum Beispiel SDR, Euro Oder Dollar eingeschlossen. 

Da die Kommunikation signiert wird, kann im Schritt 210 gepruft 
werden, ob die Belastungsaufforderung mit der IDUl korreliert. Wenn nicht, 
wird der Ruckweisungsgrund am POT-Gerat 2 angezeigt (Schritt 223). Sonst 
wird im Schritt 21 1 ein Blockierflag gepruft. 1st es gesetzt, erfolgt ein Check-up 
mit dem Finanzserver 4 (Schritt 248). 1st er nicht gesetzt, erfolgt ein Area- 
Check-up (Schritt 213). Es konnen dadurch SIM-Karten je nach Benutzungs- 
Area gesperrt werden. Wenn der Area Check-up negativ ist, erfolgt ein Check- 
up mit dem Finanzserver 4 (Schritt 248) ; sonst wird ein Time-Out Check-up 
gemacht (Schritt 215). Es wird gepruft, ob die Validationszeit. wahrend der 
Transaktionen ohne Checkup durchgefuhrt werden konnen, schon abgelaufen 
ist. Ist die Validationszeit abgelaufen (216), erfolgt ein Check-up mit dem 
Finanzserver (Schritt 248) ; sonst wird der Kunde im Schritt 217 aufgefordert, 
sein Benutzerpasswort am MobilgerSt 1 manuell einzugeben. ist das eingege- 
bene Passwort kon-ekt (Schritt 218), wird der Betrag A gegebenenfalls in die 
Einheitswahrung (zum Beispiel SDR) umgerechnet (Schritt 219). Damit wird ein 
intemationaler Einsatz des Konzepts ermOglicht. Sonst wird im Schritt 223 auf 
dem POT-Gerat 2 die Ruckweisung mit Grundangabe angezeigt. 

Das Mobilsystem 1/10 pruft dann im Schritt 220, ob der zu bela- 
25 stende Betrag A mit dem auf der Karte geladenen Geldbetrag gedeckt ist 
(Solvenzprufung). Wenn dies nicht der Fall ist, wird am Bildschirm des POT- 
GerSts dieser Ruckweisungsgrund angezeigt (Schritt 223). 

Wenn alle diese Prufungen erfolgt sind, wird im Schritt 222 die 
Transaktion mit einem Transaktionszahler Tz gezShlt, der inkrementiert wird. 
30 Dieser Zahler entspricht der Anzahl der mit der Karte 10 abgelaufenen Trans- 
aktionen. Im Schritt 224 werden dann der Debit-Betrag A, die POT-Gerat-lden- 
tifizierung POSID und die Benutzeridentifizierung IDUl in einem Transaktions- 
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beleg verknupft, welcher zusatzlich zertifiziert und optional verschlusselt und 
eventuell noch komprimiert wird. Das ECC-Verfahren (Elliptic Curve 
Cryptosystem) kann beispielsweise fur die Zertifizierung angewendet werden. 
Ein geeignetes Zertifizierungs- und Verschlusselungsverfahren wird spater als 
5 Beispiel naher eriautert. 

Der belastete Betrag A wird dann im Schritt 225 auf dem Karten- 
konto abgebucht, und der Transaktionsbeleg wird im Schritt 226 in einem Stack 
auf dem Identifizierungselement 10 abgelegt. Dieser Kartenstack beim Kunden 
kann nach Bedarf zwecks detaillierter Kontrolle vom Finanzserver abgerufen 
10 werden. Vorzugsweise kann der Kunde selber die im Stack gespeicherten 
Transaktionsbelege auf seinem Mobilgerat anzeigen, 

Nach dem Schritt 224 wird der Transaktionsbeleg dem POT-Gerat 2 
zur Abrechnung ubergeben, und die Signatur wird vom POT-Gerat gepruft 
(Schritt 227). Optional wird im Schritt 228 ein Papierbeleg am POT fur den 
15 Kunden ausgedruckt. 

Im Schritt 229 wird dann im POT-Gerat 2 der Belastungsbeleg mit 
eventuell zusatzlichen POS-Daten verknCipft, und der Transaktionsbeleg wird 
vom POT-Gerat elektronisch signiert und optional komprimiert und chiffriert. 
Der auf diese Weise vorbereitete elektronische Transaktionsbeleg wird dann 

20 optional im Schritt 230 in einem Stack im POT-Gerat 2 abgelegt. Der Stack 
enthSIt Transaktionsbelege von verschiedenen Kunden. Die Transaktionsbe- 
lege werden dann individuell Oder gruppiert wahrend dem Schritt 231 der 
Clearingeinheit 3 ubertragen. Die Ubertragung kann entweder gleich nach der 
Transaktion erfolgen, Oder es kflnnen in periodischen Zeitabstanden (zum Bei- 

25 spiel jede Stunde Oder jeden Tag) mehrere Transaktionsbelege aus dem Stack 
ubertragen werden. Ein Batch-Prozess, um alle Transaktionsbelege zum Bei- 
spiel in der Nacht zu ubertragen, kann auch angewendet werden. 

Die Clearingeinheit 3 empfSngt individuelle Oder gruppierte Trans- 
aktionsbelege aus mehreren POT-Gerdten 2 in derselben geographischen 
30 Zone (Schritt 234). Mehrere geographisch verteilte Clearingseinheiten konnen 
vorgesehen werden. Im Schritt 235 teilt die Clearingseinheit 3 die von ver- 
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schiedenen POT-GerSten empfangenen Transaktionsbelege den entsprechen- 
den Finanzinstituten Oder Dienstanbietern zu, und leitet diese Transaktionsbe- 
lege entsprechend weiter. 

Wenn die Transaktionsbelege chiffriert sind, mussen sie von der 
5 Clearingeinheit zuerst entschlusselt werden, um einem Finanzserver 4, 4', 4" 
zugeteilt zu werden, und dann wieder von der Clearingseinheit chiffriert, um sie 
weiterzuleiten. In einer bevorzugten Variante werden jedoch die Datenele- 
mente in den Feldern IDUl und eventuell POSID des Transaktionsbeleges, die 
fur das Clearing benotigt sind, vom POT-GerSt 2 nicht chiffriert. Dadurch kann 
10 eine gesicherte, end-to-end verschlusselte Ubertragung der Transaktionsbe- 
lege zwischen den POT-Geraten und den Finanzserver 4, 4', 4" erreicht wer- 
den. 

Der zustandige Finanzserver empfangt im Schritt 236 die Transak- 
tionsbelege, und der TTP-Server 40 dekomprimiert und entschlusselt sie (falls 

15 benotigt), und uberpriift die Echtheit der Signaturen vom POT-Gerat und vom 
Kunden. Im Schritt 237 wird gepruft, ob der POSID und/oder die IDUl sich in 
einer Revocation List befinden. 1st der Test negativ (238), weil weder die POT- 
Gerat-ldentifizierung noch die Kundenidentifizierung IDUl sich auf dem 
Revocation List befinden, erfolgt im Schritt 239 ein Test des Ladetokens LT. 

20 Der Ladetoken LT gibt die Anzahl der Nachladungen der Karte 10. Dieser 
Ladetoken wird im Finanzserver (LTs) und in der Karte (LTc) nach jedem 
Nachladeprozess aktualisiert, wie spater beschrieben. Eine Kopie des Lade- 
tokens LTc ist im Feld IDUl im Transaktionsbeleg ubertragen. Der vom Mobil- 
system 1,10 mitgeteilte Ladetoken LTc muss gleich wie der im Finanzserver 4 

25 gespeicherte Ladetoken LTs sein. Falls Nachladebelege noch auf dem Weg 
zwischen der Finanzserver 4 und dem Mobilsystem 1,10 sind, kann LTc tempo- 
rar auch kleiner sein als LTs. Der Finanzserver 4 pruft also ob LTc ^ LTs. 

Wird im Schritt 240 diese Bedingung nicht verifiziert, wurde wahr- 
scheinlich ein nicht autorisierter Nachladeprozess durchgefuhrt und das Ver- 
30 fahren geht zum Schritt 241 uber. Es wird hier unterschieden, ob die FSIschung 
vom POT Oder vom Kunden gemacht worden ist. Ist der Kunde verantwortlich, 
wird er im Schritt 242 in einer Blackliste eingetragen. Ein Kundensperrungsbe- 
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leg wird vorzugsweise generiert und an das Mobilsystem 1,10 des Kunden 
geschickt, urn das Blockierflag zu setzen und dieses System zu sperren, sowie 
an alle POT-GerSte, Oder zumindest an alle POT-GerSte im einem vordefinier- 
ten geographischen Bereich, urn diesen Kunden in der Blackliste dieser POT 
5 einzutragen. Wurde dagegen das Problem vom POT-Gerat verursacht, wird 
dieses im Schritt 243 in einer POT-Blackliste eingetragen. 

Wird im Schritt 240 die Ladetokenprufung bestanden, kann im 
Schritt 244 der Betrag A im Transaktionsbeleg dem Kundenkonto 41 beim 
Finanzinstitut belastet werden. Andere Zahlungsvarianten, zum Beispiel mit 

10 einer Kreditkarte oder durch Erstellung einer Rechnung, sind natCirlich im 
Rahmen dieser Erfindung auch moglich. Im Schritt 245 wird entsprechend der 
Betrag A einem Konto 420, 420' Oder 420" des POT-Betreibers bei einem 
Finanzinstitut gutgeschrieben. Bearbeitungsgebuhren kSnnen auch von einem 
Finanzinstitut und/oder vom POT-Betreiber oder vom Netzoperator dem POT- 

15 Konto 420 und/oder dem Kundenkonto 41 belastet werden. 

Im Schritt 246 tragt dann der Finanzserver 4 diese Transaktion in 
den Transaktionszahler ein. Ein Prozess erfolgt dann im Schritt 247, um die 
Werte vom Ladetoken LT und vom Transaktionszahler Tz im Mobilsystem zu 
aktualisieren 

20 Wir kommen auf den Prozess im Mobilsystem 1,10 zuruck. Wie 

schon erkiart, gelangt dieses System zum Schritt 248, wenn ein Sicherheits- 
problem im Schritt 212, 214 oder 216 festgestellt wird. In diesem Fall erfolgt ein 
kompletter Checkup mit dem Finanzserver, vorzugsweise uber das Mobilfunk- 
system 6. Der Checkup umfasst zum Beispiel einen Test und eine Emeuerung 

25 des Authentifizierungszertifikats sowie eine Uberprufung von alien ausgefuhr- 
ten Parametem, zum Beispiel der Ladetoken LT, der TransaktionzShler Tz, der 
Blackliste, usw. 1st das Ergebnis des Checkups negativ, wird das Blockierflag 
gesetzt, so dass das Mobilsystem 1, oder mindestens die betreffende Anwen- 
dung in der SIM-Karte 10, gesperrt wird (Schritt 253). Zeigt im Gegenteil diese 

30 Prufung, dass hochstwahrscheinlich keine Falschung versucht wurde, wird im 
Schritt 250 die Validationszeit neu gesetzt. Mit der Validationszeit kann zum 
Beispiel das Mobilsystem gesperrt werden, wenn es wahrend einer vordefi- 
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nierten Zeit, zum Beispiel ein Jahr, nicht benutzt wird. Diese Angabe muss da- 
her nach jeder Benutzung neu eingestellt werden. Der Blockierflag wird dann 
im Schritt 251 geloscht, und eine neue Area im Schritt 252 gesetzt. 

Wichtig zu bemerken ist, dass der Belastungsprozess mit unter- 
5 schiedlichen Wahmngen erfolgen kann, zum Beispiel auf der Basis der im 
Teiekommunikationsbereich ubiichen SDR (Sonderzieliungsrechte) Oder mit 
einer anderen Referenzwahrung (zum Beispiel Euro oder Dollar). Der maximale 
Betrag auf der Karte ist je nach Kundenklasse definiert. Minimal ist ein 
Defaultwert in SDR mdglich. Jedes Gerat 2 speichert den fur ihn relevanten 
10 SDR-Wert (wahrungsspezifisch), der ihm im Einbuchungsprozess vom Server 
mitgeteilt wird. Je nach Kursschwankungen werden die POT-Gerate vom 
Finanzserver automatisch mit aktuellen Kursen versorgt. 

Ein Verfahren zum Nachladen des Mobilsystems 1, 10 mit einem 
Geldbetrag wird jetzt mit Hilfe der Figur 6 naher beschrieben. Dieses Verfahren 
15 kann ebenfalls auf beliebige Ausfuhrungsformen der Erfindung gemass den 
Figuren 1 bis 4 angesetzt werden. 

Ein Nachladeprozess erfolgt mit dem Mobilsystem 1,10 des Kunden 
und dem POT-GerSt 2 zusammen. Ein direkter Nachladeprozess vom Finanz- 
server 4 kSnnte aber auch angesetzt werden. Je nach Kundenklasse, oder 
20 auch nach Bedarf, kann vom Finanzserver der Beleg-Kartenstack beim Kun- 
den, zwecks detaillierter Kontrolle, abgerufen werden. Nach dem Nachladepro- 
zess kann der Stack vom Finanzserver geloscht werden. 

Die erste Kolonne in Figur 6 zeigt die Verfahrensschritte. die haupt- 
sSchlich das Mobilsystem 1,10 involvieren ; die zweite beschreibt die Verfah- 

25 rensschritte, die vom POT-Ger§t 2 ausgefuhrt werden ; die dritte betrifft die 
Operationen vom Finanzserver 4 und die vierte die Effekte auf die verschiede- 
nen Konten beim Finanzinstitut. Es muss aber bemerkt werden, dass viele 
Verfahrensschritte entweder mit dem Mobilsystem 1,10, zum Beispiel inner- 
halb der SIM-Karte 10, oder mit dem POT-GerSt 2 ausgefuhrt werden konnen. 

30 Zum Beispiel konnen die Verfahrensschritte, welche die Dateneingabe betref- 
fen, entweder auf dem POT-Gerat oder auf dem Mobilgerat 1 ausgefuhrt wer- 
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den. wenn das Mobilgerat eine Tastatur enthalt. wie zum Beispiel ein GSM- 
Mobilgerat. Wenn das Mobilgerat 1 und das POT-Gerat 2 nicht drahtverbunden 
sind, wind die Kommunikation zwischen den beiden Teilen vorzugsweise ver- 
schlusselt, zum Beispiel mit einem DEA-, DES-. TDES-, RSA- oder ECC- 
5 Sicherheitsalgorithmus. 

Im Schritt 300 wird zuerst das Mobilsystem 1,10, zum Beispiel die 
Identifizierungskarte 10, operativfCir den Nachladeprozess freigeschaitet ; das 
POT-Gerat 2 wird seirierseits auch im Schritt 301 aktiviert. Das POT-Gerat 2 
ruft dann im Schritt 302 in einem Broadcastverfahren das nachste, unbe- 
10 stimmte Mobilsystem 1 , 1 0 auf (« Kartenpaging »). 

Wenn die Verbindung zwischen dem POT-Gerat 2 und dem Mobil- 
system 1,10 hergestelit worden ist, ubergibt im Schritt 303 der Kunde dem POT 
seine Identifizierung IDUl (international Debit User Identification) und den Typ 
des zu startenden Prozesses, hier eine Nachladung. 

15 Das POT-Gerat 2 enthalt eine vorzugsweise vom Finanzserver 4 

periodisch aktualisierte Schwarzliste uber zu sperrende Mobilsysteme 
(Revocation list). Die vom Kunden ubermittelte IDUl wird mit der Schwarzliste 
verglichen (Schritt 304). Wenn die vom Kunden ubergebene IDUl in der 
Schwarzliste gefunden wird (Schritt 305), wird ein Blockierflag im Schritt 306 

20 gesetzt. Danach, oder wenn keine Ubereinstimmung gefunden wird, wird im 
Schritt 307 gepruft, ob die Aufforderung mit der IDUl korreliert. Wenn nicht, 
wird der Ruckweisungsgrund am POT-Gerat 2 angezeigt (Schritt 315). Sonst 
wird im Schritt 308 das Blockierflag gepruft. Ist es gesetzt, wird das Mobil- 
system 1 . Oder mindestens die betreffende Anwendung in der Identifizierungs- 

25 karte 10, gesperrt (Schritt 331). Ist es nicht gesetzt, wird der Kunde im Schritt 
310 aufgefordert, sein Benutzerpasswort am Mobilgerat 1 manuell einzugeben. 
Ist das eingegebene Passwort nicht korrekt (Schritt 31 1 ), wird ebenfalls das 
Blockierflag gesetzt und der Ruckweisungsgrund am POT-Gerat 2 angezeigt 
(Schritt 315) ; sonst ist der Prozess frei fur die Nachladung und der Kunde wird 

30 im Schritt 312 aufgefordert, die transaktionspezifischen Daten, hier ein Nach- 
ladebetrag A, einzugeben. In der dargestellten Variante kann der Nachladebe- 
trag am POT-Gerat eingegeben werden ; dieser Betrag wird im Schritt 313 mit 
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der POSID und mit der IDUl verknupft, signiert und an die Karte 10 ubermittelt. 
Der Betrag A konnte aber auch am Mobilgerat 1 erfasst werden ; in diesem Fall 
ist kein POT involviert, und die POSID wird daher nicht benotigt. 

Im Schritt 314 wird geprCift. ob die IDUl in den vom POT-Gerat 2 
5 empfangenen Daten mit der eigenen IDUl ubereinstimmt. Wenn nicht, wird der 
Ruckweisungsgrund am POT-Gerat 2 angezeigt (Schritt 315) ; sonst wird der 
gewunschte und am POT-Gerat eingegebene Nachtadebetrag auf dem Bild- 
schimi des Mobilgerats angezeigt. Im Schritt 316 werden dann die POSID, die 
IDUl, die schon envahnte Anzahl Zahlungstransaktionen Tz, die auf der Karte 

10 gespeicherte Anzahl ausgefuhrter Nachladeprozesse (LTc. Lade-Token Kun- 
den) und der Restbetrag auf der Karte DRA (Debit Rest Amount) verknupft, 
signiert, verschiusselt und dann optional komprimiert. Es entsteht dadurch ein 
Nachiadebeleg. Optional kann auch der Beleg-Stack auf der Karte ubermittelt 
werden, zum Beispiel je nach Kundenklasse, bei Kartenausgabe Oder nach 

15 Bedarf wahrend der Nutzung bei Solvenzproblemen. Die POSID wird nur in den 
Nachiadebeleg integriert, wenn der Kunde uber ein Mobilgerat ohne den POT- 
Eingabeteil verfugt, damit er vom Finanzserver auch adressiert werden kann. 
Der Nachiadebeleg wird dann an den Finanzserver 4, 4\ bzw. 4" ubermittelt, 
wo der TTP-Server 40 diesen Beleg im Schritt 317 empfSngt, gegebenenfalls 

20 entschlusselt und dekomprimiert, und die Signatur vom Kunden und gegebe- 
nenfalls vom POT uberprufl. 

Im Schritt 319 werden mit Hilfe der Tabelle 318, welche die Anzahl 
und Token bezuglich der Prozesse zwischen dem Kunden und dem Finanz- 
server speichert, folgende Prufungen durchgefuhrt : 

25 BetrSgeprufung : Die Summe EA aller auf der Karte geladenen Be- 

trage, inklusive der Startsumme, muss gleich Oder kleiner sein als die Summe 
aller Kontrollbelastungen ZKB und des Restbetrags DRA auf der Karte. Die 
Summe kann kleiner sein, weil die Belege, die noch zwischen dem Mobilsystem 
1,10, der Clearingeinheit 3 und dem Finanzserver 4, A\ 4" sind, in diesem 

30 Moment noch nicht erfasst werden konnen. 
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Ladetoken-Prufung : Die Anzahl von Lade- bzw. Nachlade-Trans- 
aktionen wird im Mobilsystem, zum Beispiel in der SIM-Karte mit einem Token 
LTc und im Finanzserver 4 mit einem anderen Token LTs gezahlt. Diese beide 
Token mussen gleich sein. 

5 Transaktionszahlerprufung : Fur jede Zaiilungstransaktion wird der 

Transaktionszaliier Tz im Mobilsystem 1,10 inkrementiert ; in jedem Nachlade- 
beleg wird auch Tz ubertragen. Der beim Finanzserver gespeicherte Transakti- 
onszahler Trs, der durch die vom Kunden transferierten Belege inkrementiert 
wird, muss gleich Oder eventuell kleiner sein als der Transaktionszahler Tz im 

10 Mobilsystem 1,10. 

Wenn eine von diesen drei Bedingungen nicht erfullt ist (Schritt 
320), wird der Blockierflag im Schritt 321 gesetzt und der Nachladeprozess im 
Schritt 325 zuruckgewiesen. Sonst wird im Schritt 322 der Kontostand 41 des 
Kunden uberpruft. Reicht er nicht fur die Nachladung, wird im Schritt 325 
15 ebenfalls die Ruckweisung aufbereitet. 

Wenn das Konto (oder die Kontolimite) des Kunden beim Finanz- 
institut 4 fur den nachzuladenden Betrag reicht (Schritt 322, 323). wird dieser 
Betrag vom Kundenkonto 41 abgehoben (324), inklusive allfalliger Kommis- 
sionen. Ein Nachladebeleg wird dann im Schritt 326 aus der POSID, der IDUl, 

20 dem Betrag A, dem neuen Lade-Token LTn, und einem vordefinierten Time Out 
Inkrement TOi erstellt. Dieser Nachladebeleg wird im Schritt 327 signiert, 
optional verschlusselt und komprimiert, und an das Mobilsystem 1.10 des Kun- 
den ubertragen. Dieses pruft wahrend dem Schritt 328, ob die Signatur im Be- 
leg vom Finanzserver stammt, und verifiziert wShrend dem Schritt 330, ob das 

25 Blockierflag gesetzt ist. Falls es gesetzt ist (Schritt 330), wird das Mobilsystem 
1 , Oder mindestens die betreffende Anwendung, im Schritt 331 gesperrt. Sonst 
wird noch gepruft, ob der Finanzserver eine Ruckweisung aufgefordert hat 
(Schritt 332), was zur Unterbrechung des Prozesses mit Anzeige des Ruckwei- 
sungsgrundes fuhrt (Schritt 334). 

30 Wenn alle Tests erfolgreich bestanden sind, wird im Schritt 335 das 

Kartenkonto mit dem geforderten Nachladebetrag gebucht. Der alte Ladetoken 
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LTc wird dann mit dem vom Finanzserver ubermittelten neuen Ladetoken LTn 
ersetzt (Schritt 336), der Transaktionszahler Tz auf der Karte wird im nachsten 
Schritt 337 zurCickgesetzt, und der Time Out TOi im Schritt 338 neu gesetzt. 
Wenn im Schritt 339 festgestellt wird, dass im Nachladebeleg das POSID ent- 
5 halten ist, wird ausserdem im Schritt 340 sine neue Area gesetzt. 

Der Nachladebetrag wird dann als Bestatigung angezeigt, entweder 
am Bildschirm des Mobilgerats Oder am POT-Gerat (Schritt 341). Schliesslich 
wird auch noch der Gesamtkontostand auf der Karte angezeigt (Schritt 342). 

Die Sicherung der Datenubermittlungen durch Kryptographie wird in 
10 zwei verschiedenen Segmenten unterschiedlich unternommen. Zwischen dem 
Kunden und dem POT wird die Kommunikation durch die Luftschnittstelle durch 
zum Beispiel einen Algorithmus wie DES, TDES, RSA Oder ECC sichergestellt. 
Zwischen Kunden und Finanzserver kommt dagegen das TTP (Trusted Third 
Party)- Verfahren, oder optional ein PTP-Verfahren (Point-to-Point) zur Anwen- 
15 dung. Die n6tigen Elemente sind auf das Identifizierungselement 10 und im 
TTP-Server 40 integriert. Eine Beschreibung des TTP-Konzeptes wird als An- 
hang beigelegt. 

In der Folge wird mit Hilfe der Figur 7 der Informationsfluss in einer 
funften Variante des Transaktionsverfahrens gemass der Erfindung eriautert. 
20 Der Kunde ist mit einem MobilgerSt 1 ausgerustet, das ebenfalls eine SIM- 
Karte 10 enthSIt, die ihn im GSM-Netz 5 identifiziert. Der VerkSufer braucht ein 
POT-Gerat 2 mit einem Modem-Anschluss 22 an einem Telekommunikations- 
netz 6, zum Beispiel ein Fixnetz. Beide haben einen Vertrag mit dem Betreiber 
des Finanzservers 4', zum Beispiel einem Finanzinstitut. 

25 Damit die Transaktion zwischen Kunden und Verkaufer erfolgt, muss 

der Verkaufer zuerst den zu bezahlenden Betrag A in den POT 2 eintippen. 
Das POT-Gerat verknupft diesen Betrag A mit einem im POT gespeicherten 
POSID, das die Filiale und die Kasse in dieser Filiale identifiziert. Diese ver- 
knupften Daten warden durch das vorzugsweise gesicherte Datennetz 6 an den 

30 Finanzserver 4' ubermittelt. 
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Der Kunde bereitet auf seinem GerSt 1 eine spezielle Kurzmeldung 
vor, vorzugsweise eine SMS-Kurzmeldung oder eventuell eine USSD-Datei, die 
den zu zahlenden Betrag A und das vom VerkSufer mundlich kommunizierte 
POSID enthSIt, und sendet diese Kurzmeldung uber das GSM-Netz 5 und die 
5 nicht dargestellte Kurzmeldungsbetriebszentrale (SMSC) an den Finanzserver 
4'. Diese Kurzmeldung enthSIt automatisch die in der SIM-Karte gespeicherte 
Kundenidentifikation. Vorzugsweise ist ausserdem ein verlangter Sicherheits- 
PIN-Code enthalten. Die Kurzmeldung kann vor der Ubermittlung verschlusselt 
werden. 

10 Vorzugsweise werden keine Angaben uber den gekauften Dienst, 

das Produkt oder die Information ubermittelt, um die Privatsphare des Kaufers 
zu schutzen. 

Der Finanzserver 4' erhalt die Daten vom POT-Gerat 2 und vom 
Mobilsystem 1 des Kunden und erganzt sie, falls notwendig. Er kennt vom POT 

15 die Identitat POSID und den Betrag A. Daher kann er das gutzuschreibende 
POT-Konto 420, 420\ 420" bestimmen. Vom Kunden kennt er die Identitat 
durch Kundenidentifizierung und gegebenenfalls den PIN und den Betrag. 
Daher kann er das zu belastende Kundenkonto 41 bestimmen. Der Finanz- 
server 4' vergleicht dann das vom POT-GerSt 2 und vom Mobilsystem uber- 

20 mittelte POSID sowie den Betrag. Bei Obereinstimmung erfolgt die Transaktion 
zwischen POT-Konto und Kundenkonto. Der Finanzserver 4' schickt dann eine 
Meldung an das POT-Gerat 2 und/oder an das Mobilgerat 1, dass die Trans- 
aktion erfolgt ist, und diese Meldung wird angezeigt. Bei Unstimmigkeiten wird 
der Vorgang abgebrochen. 

25 In der Folge wird mit Hilfe der Figur 8 der Infomnationsfluss in einer 

sechsten Variante des Transaktionsverfahrens gemSss der Erfindung erlSutert. 
Der Kunde ist mit einem Mobilgerdt 1 ausgerustet, das ebenfalls eine SIM- 
Karte 10 enthait, die ihn im Mobilfunknetz 5 identifiziert. Der VerkSufer braucht 
ein POT-Gerat 2 mit einem Modem-Anschluss 22 an einem Telekommunikati- 

30 onsnetz 6, zum Beispiel ein Fixnetz. Beide haben einen Vertrag mit dem Be- 
treiber des Finanzservers 4\ zum Beispiel ein Finanzinstitut. 
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Damit die Transaktion zwischen Kunden und Verkaufer erfolgt, muss 
der Betreiber des POT-Gerats, zum Beispiel ein Verkaufer, den zu bezahlen- 
den Betrag A und die Mobilrufnummer vom Kunden auf dem POT-Gerat 2 er- 
fassen. Das POT-Gerat verknupft diese Angaben mit einem im POT gespei- 
5 cherten POSID, das die Filiale und die Kasse in dieser Filiale identifiziert. 
Diese verknupften Daten werden durch das vorzugsweise gesicherte Daten- 
netz 6 an den Finanzserver 4' ubermittelt. Vorzugsweise werden keine Anga- 
ben Ciber das gekaufte Produkt ubermittelt, urn die Anonymitat des KSufers zu 
gewahrleisten. 

10 Der Finanzserver 4' erhait die Daten vom POT und ergSnzt sie, falls 

notwendig. Er kennt die Identitat POSID des POT und den Betrag A. Daher 
kann er das gutzuschreibende POT-Konto 420, 420\ 420" bestimmen. Eben- 
falls kann er den Kunden durch die ubermittelte Mobilrufnummer identifizieren, 
und kennt daher das zu belastende Kundenkonto 41 . 

15 Der Finanzserver 4' schickt dann dem Kunden eine spezielle Kurz- 

meldung, zum Beispiel eine SMS- oder USSD-Kurzmeldung, die den Betrag A 
enthalt. Der Kunde muss dann die Transaktion mit einer Bestatigungs-Kurz- 
meldung bestatigen, die eine Identifizierung des Kunden im GSM-Netz enthalt. 
Falls keine Bestatigung des Kunden kommt, oder wenn die ubermittelte Identi- 

20 fizierung nicht mit der Kunden-Mobilrufnummer ubereinstimmt, wird der Vor- 
gang abgebrochen. Sonst erfolgt die Transaktion. 

In der Folge wird mit Hilfe der Figur 9 der Informationsfluss in einer 
siebten Variante des Transaktionsverfahrens gemSss der Erfindung eriautert. 
Der Kunde ist mit einem Mobilgerat 1 ausgerustet, das ebenfalls eine SIM- 
25 Karte 10 enthalt, die ihn im GSM-Netz 5 identifiziert. Der Verkaufer braucht ein 
normales POT-Gerat 2, das keinen Telekommunikationsanschluss benotigt. 
Beide haben einen Vertrag mit dem Betreiber des Finanzservers A\ zum Bei- 
spiel einem Finanzinstitut. 

Damit die Transaktion zwischen Kunden und Verkaufer erfolgt, muss 
30 der Kunde eine spezielle Kurzmeldung, zum Beispiel eine SMS- oder USSD- 
Kurzmeldung, vorbereiten. die den zu zahlenden Betrag A und das vom Ver- 
kaufer kommunizierte POSID enthalt, und diese Kurzmeldung uber das GSM- 
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Netz 5 und die SIM-Zentrale an den Finanzserver 4' senden. Diese Kurzmel- 
dung enthalt automatisch die in der SIM-Karte gespeicherte Kundenidentifika- 
tion. Vorzugsweise enthSIt sie ausserdem einen verlangten Sicherheits-PIN- 
Code. Vorzugsweise warden keine Angaben uber das gekaufte Produkt uber- 
5 mittelt, urn die Privatsphare des Kaufers zu schutzen. 

Der Finanzserver 4' erhalt die Daten vom Kunden und erganzt sie, 
falls notwendig. Er kennt die Identitat POSID des POT-Ger§ts und den Betrag 
A. Daher kann er das gutzuschreibende POT-Konto 420 bestimmen. Ebenfalls 
kann er den Kunden durch die Kundenidentifizierung in der Kurzmeldung iden- 
10 tifizieren, und kennt dalier das zu belastende Kundenkonto. 

Der Finanzserver 4' tatigt dann die Transaktion, und sendet dem 
POT-Betreiber eine Bestatigungsmitteilung in Form einer Kurzmeldung, eines 
e-mails oder eines nomnalen Postbriefes. Diese Mitteilung enthalt mindestens 
die Identifizierung des POT, das Datum, die Zeit, den Betrag und eventuell das 
15 Kundenkonto. 

Vorzugsweise werden alle Belege zwischen Mobilgeraten, POT-Ge- 
raten und den Finanzservern als SMS- oder USSD-Meldungen ubermittelt. 
Falls SMS-Kurzmeldungen benutzt werden, werden sie vorzugsweise mil ei- 
nem speziellen Header im Datentelegramm versehen. um diese Meldungen 
20 von gewohnlichen Meldungen zu unterscheiden. Vorzugsweise wird ausserdem 
der Inhalt von diesen Meldungen mit dem im Anhang beschriebenen und durch 
die Figuren 10 bis 13 veranschaulichten TTP-Verfahren verschlusselt. 

Der Fachmann wird verstehen, dass die Erfindung auch fur nicht 
finanzielle Transaktionen zwischen einem Mobilsystem und einem mit einem 

25 Telekommunikationsnetz 5 verbundenen POT-Gerat 2 geeignet isl. Das POT- 
Gerat 2 kann zum Beispiel auch durch eine Verschlussvorrichtung gebildet 
werden ; fur diese Anwendung ist das Mobilsystem 10, zum Beispiel in der 
Form einer Chipkarte, mit einem elektronischen Schlussel geladen; der Schlus- 
sel wird aus dem Server 4 nachgeladen und auf der Karte 10 gespeichert. Um 

30 die Verschlussvomchtung zu fiffnen, wird eine kontaktlose Kommunikation, 
zum Beispiel durch eine induktive oder eventuell infrarote Schnittstelle, zwi- 
schen dem Mobilsystem 10 und dem POT-GerSt 2 aufgebaut. Die Verschluss- 
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vorrichtung wird nur dann geoffnet, wenn es sich nach dieser Kommunikation 
erweist, dass der im Mobilsystem 10 gespeicherte Schlussel korrekt ist und 
seinem Besitzer das Eintrittsrecht in die geschutzte Zone gibt. Der Server 4, mit 
dem die Verschlussvonrichtung durch das Netz 5 verbunden ist, venvaltet und 
5 registriert die Zutrittsgeneiimigungen und belastet gegebenenfalls das Konto 
41 des Kunden mit einem von den erfolgten Zutritten abhangigen Betrag. 
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Anhang - Grundlagen der Kryptographie und TTPs 


Sicherheitsanforderungen 


Beim Austausch von Daten zwischen dem Mobilsystem 1,10 und 
5 dem Finanzserver 4 unterscheidet man zwischen folgenden Anforderungen an 
die Sicherheit: 


• Vertraulichkeit: Sicherstellung, dass eine Information nicht fur 
Unbefugte zuganglich oder lesbar gemacht wird. 


• Authentifikation: Prozess, in dem die Authentizitat uberpruft wird. 


10 • Authentizitat: Beweis einer Identitat. Sie bewirkt die Gewissheit, 

dass der Kunde. das POT-Gerat 2 oder der Server 4 tatsachlich 
derjenige ist, fur den er sich ausgibt. 

• Authentizitat einer Information: Gewissheit, dass der Absender/ 
Hersteller einer Information (Mobilsystem 1,10, POT-Gerat oder 
15 Finanzserver) authentisch ist 


• Nichtabstreitbarkeit des Ursprungs / Herkunftsbeweis: Der 
Absender einer Information kann nicht abstreiten, dass die Infor- 
mation von ihm stammt. 


• Integritat: Sicherstellung der Konsistenz der Information, d.h. 
20 Schutz vor Veranderung, Hinzufugung oder Loschung von Infor- 

mationen. 


Nachfolgend wird hier statt des Begriffes ^information" der Begriff 
„Meldung" verwendet. Eine Meldung ist eine Information (hier eine Bitfolge), die 
von einem Absender an einen Empfanger ubermittelt wird. Fur diese Applika- 
25 tion kann eine Meldung zum Beispiel ein Zahlungsbeleg oder ein Nachlade- 
beleg sein. Die Begriffe „Absender" und „Empfanger" meinen, je nach Richtung 
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der Meldung, entweder das Mobilsystem 1,10. das POT-GerSt 2 Oder den 
Finanzserver 4. 

Die Authentizitat des Absenders, Integritat der Information und 
Nichtabstreitbarkeit des Ursprungs der Information werden durch die Verwen- 

5 dung einer sog. Digitalen Signatur erreicht. Eine Digitale Signatur ist ein 
kryptographischer Code (d.h. eine Bitsequenz), der fur eine bestimmte Infor- 
mation einzigartig ist, und fur dessen Herstellung ein kryptographischer 
Schlussel (ebenfalls eine Bitsequenz), den nur der Verfasser besitzt, benotigt 
wird. Die Digitale Signatur kann demnach nur vom Besitzer des privaten 

10 Schlussels hergestellt werden. Sie wird normalerweise der Originalmeldung 
beigefugt. 

Die Vertraulichkeit der Informationsubertragung wird durch Ver- 
schlusselung en^eicht. Sie besteht darin, dass die Meldung mit Hilfe eines Ver- 
schlusselungsalgorithmus und eines kryptographischen Schlussels 
15 (Bitsequenz) in einen unleserlichen Zustand venvandelt wird. Aus der auf diese 
Art venA/andelten Meldung kann die Ursprungsinformation nicht zuruckgewon- 
nen werden, es sei denn, man kenne den zum Entschlussein notwendigen 
SchlQssel. 

Wie das im Detail funktioniert, wird im folgenden dargelegt. 

20 Symmetrische und asymmetrische VerschlUsselung 

Man unterscheidet zwei Arten von Verschlusselungsalgorithmen: 

• Symmetrisch: Zum Chiffrieren und Dechiffrieren (Chiffrieren = 
Verschlussein) einer Information wird derselbe kryptographische 
Schlussel verwendet. Folglich mussen der Absender und der 
25 Empfanger im Besitz des gleichen Schlussels sein. Ohne diesen 

Schlussel ist es unmoglich, die Originalinformation wieder zuruck- 
zubekommen. Der heute am haufigsten ven/vendete symmetrische 
Algorithmus ist DES (Digital Encryption Standard). Andere Algo- 
rithmen sind z.B. IDEA, RC2 und RC4. Symmetrische Algorithmen 
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werden vorzugsweise fur die Sicherung der Datenubertragungen 
zwischen Mobilsystem und POT-Gerat eingesetzt. Der Schlussel 
wird dann im POT-Gerat 2 und im Mobilsystem 10 gespeichert. 

• Asymmetrisch: Zum Chiffrieren und Dechiffrieren werden zwei 
5 verschiedene, komplementare Schlussel verwendet 

(Schlusselpaar); das heisst, die Meidung wird mit einem ersten 
Schlussel chiffriert und mit einem zweiten Schlussel dechiffriert. 
Diese Prozedur ist umkehrbar, d.h., es kann auch der zweite 
Schlussel zum Chiffrieren und der erste Schlussel zum Dechiffrie- 

10 ren benutzt werden. Es ist unmoglich, aufgrund des ersten 

Schlussels den zweiten Schlussel zu rekonstruieren (oder umge- 
kehrt). Ebeniso ist es unmoglich, aufgrund der chiffrierten Informa- 
tion den Schlussel zu berechnen (dies ist sogar dann gultig. wenn 
die Originalinformation bekannt ist). Der heute mit Abstand am 

15 haufigsten verwendete asymmetrische Algorithmus ist RSA 

(benannt nach dessen Erfindem Rivest, Shamir und Adieman). 
Eine Variante davon ist DSS (Digital Signature Standard). 

Mit Hilfe der asymmetrischen Chiffrierung kann eine sogenannte 
20 Digitate Signatur hergestellt werden. Wie das im Detail funktio- 

niert, wird im folgenden erklart. 

Private und dffentliche Schlussel 

Mit Hilfe der asymmetrischen Verschlusselungstechnik kann ein so- 
genanntes System von offentlichen und privaten Schlussein realisiert werden. 

25 Dabei wird der eine Schlussel des komplementaren Schlusselpaares als privat 
bezeichnet. Er ist im Besitz des Absenders, zum Beispiel des Kunden, und ist 
nur ihm bekannt. Er wird deshalb auch geheimer Schlussel genannt (wobei 
dieser Begriff normalenveise fur symmetrische Schlussel venvendet wird). Der 
andere Schlussel ist der dffentliche Schlussel. Er ist allgemein zugdnglich. Wie 

30 oben erwShnt, ist es nicht mfiglich, aufgrund des Sffentlichen Schlussels den 
privaten Schlussel zu berechnen. Jedes Mobilsystem. POT-Gerat und jeder 
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Finanzserver erhalt von einer vertrauenswurdigen Instanz ein Schlusselpaar 
bestehend aus einem privaten und einem offentlichen Schlussel. 

Es ist von eminenter Wichtigkeit, dass der private Schlussel auch 
wirklich geheim bleibt, d.h., dass keine andere Person ihn kennt, weil darauf 

5 die Sicherheit der Digitalen Signatur aufbaut. Daaim wird der private Schlussel 
nur in verschlusselter Form auf der Identifizierungskarte 10 gespeichert, auf 
der ausserdem der Chiffrieralgorithmus direkt implementiert ist. Auf diese 
Weise bleibt der private Schlussel immer im Chip und verlasst diesen in kei- 
nem Moment. Die zu verschlusselnden Daten werden in den Chip transferiert, 

10 dort werden sie verschlusselt und anschliessend wieder zuruckgesendet. Die 
Architektur des Chips ist so definiert, dass der private Schlussel weder mit 
elektronischen, noch mit optischen, mechanischen, chemischen oder elektro- 
magnetischen Mittein gelesen werden kann. 

Im Gegensatz zum privaten Schlussel ist der Sffentliche Schlussel 
15 allgemein bekannt und wird an alle Benutzer verteilt. Der Einfachheit halber 
wird der offentliche Schlussel in der Regel mit jeder Meldung mitgeschickt. Wie 
wir weiter unten sehen werden, braucht es dabei eine vertrauenswurdige 
Instanz (Zertifizierungsinstanz), die fur die Echtheit der offentlichen Schlussel 
burgt, da ein Krimineller sein eigenes Schlusselpaar herstellen und sich als 
20 jemand anderen ausgeben kann. Diese Echtheitsgarantie geschieht in Form 
eines sogenannten Zertifikates, was im folgenden genauer beschrieben wird. 

Die Hashfunktion 

Die Hashfunktion ist ein nicht-reziproker Algorithmus, der aufgrund 
einer bestimmten Information beliebiger Lange einen Hashwert 

25 (Kurzfassung/Komprimat) fixer Lange herstellt. Er ist mit der Quersumme einer 
ganzen Zahl vergleichbar. Dabei ist die Lange der Meldung typischerweise um 
einiges grosser als der daraus berechnete Hashwert. So kann die Meldung z.B. 
mehrere Megabytes umfassen, wogegen der Hashwert nur 128 Bits lang ist. Es 
ist zu beachten, dass aufgrund des Hashwertes nicht auf die Originalinforma- 

30 tion zuruckgeschlossen werden kann (Nichtreziprokitat), und dass es extrem 
schwierig ist. die Information so zu modifizieren, dass sie den gleichen 
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Hashwert ergibt. Zweck einer solchen Funktion ist die Herstellung eines kur- 
zen, fur das jeweilige Dokument einzigartigen, Codes. Dieser wird fur die Her- 
stellung der Digitalen Signatur benutzt. Beispiele von Hashalgorithmen sind 
MD4 (Message Dienst 4), MD5. RIPE-MD und SHA (Secure Hash Algorithm). 

5 Die Digitate (Elektronische) Signatur 

Dieses Verfahren wird mit Hilfe der Figur 10 beschrieben. Jeder Be- 
nutzer erhalt einen privaten und einen offentlichen Schlussel. Urn eine Mel- 
dung 90 digital zu signieren, wird sie mit dem privaten Schlussel des Absen- 
ders chiffriert (Block 94). Das Resultat ist die Digitale Signatur 92. Da aber die 

10 so entstandene Signatur die gleiche Grosse wie die Originaimeldung aufweisen 
wurde, wird zuerst der Hashwert 93 der Meldung 90 berechnet. Wie oben er- 
wahnt, hat der Hashwert eine fixe Lange und ist fur eine bestimmte Meldung 
einzigartig. Fur die Bildung der digitalen Signatur wird nun statt der Originai- 
meldung der Hashwert 93 chiffriert. Die so entstandene Digitale Signatur 92 

15 wird dem Originaldokument 90 beigefugt. Das Ganze wird dann an den Emp- 
fanger verschickt (Figur 10). 

Da nur der Absender des Dokumentes im Besitz seines privaten 
Schlussels 91 ist, kann nur er die Digitale Signatur herstellen. Hier liegt denn 
auch die Analogie zu einer handschriftlichen Unterschrift. Die Digitale Signatur 

20 besitzt aber gewisse Eigenschaften, die bei der handschriftlichen Unterschrift 
nicht vorhanden sind. So kann z.B. bei einem handschriftlich unterschriebenen 
Vertrag nicht ausgeschlossen werden, dass keine Information unbemerkt hin- 
zugefugt oder geloscht wurde, was bei der Digitalen Signatur nicht mflglich ist. 
Die Digitale Signatur bietet also sogar eine noch bessere Sicherheit als die 

25 traditionelle handschriflliche Unterschrift. 

UberprUfung der Digitalen Signatur 

Da der offentliche Schlussel 97 an alle Benutzer verteilt wird und 
somit allgemein bekannt ist, kann jeder Empfanger die Digitale Signatur 92 
uberprufen. Dazu dechiffriert er die Digitale Signatur 92 mit dem Offentlichen 
30 Schlussel 97 des Absenders (Block 96 auf Figur 1 1 ). Das Resultat ist der 
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Hashwert der Originalmeldung 90. Parallel dazu berechnet der Empfanger den 
Hashwert 95 des Originaldokuments 90, das ja ebenfalls (zusammen mit der 
Signatur 92) an ihn ubermittelt wurde. Diesen resultierenden zweiten Hashwert 
95 vergleicht der Empfanger nun mit dem aus der Signatur dechiffrierten 
5 Hashwert 96. Stimmen die beiden Hashwerte miteinander uberein, so ist die 
Digitale Signatur authentisch. 

Wenn nun die Originalmeldung 90 wShrend der Ubermittlung verSn- 
dert wird (ein Bit genugt), so wird sich auch deren Hashwert 95 verandern. 
Somit wurde der Empfanger feststellen, dass der Hashwert 95, den er aufgrund 
10 der Originalmeldung berechnet hat, nicht mit dem aus der Signatur dechiffrier- 
ten Hashwert 96 tibereinstimmt, was bedeutet, dass die Signatur nicht korrekt 
ist. Folglich hat der Empfanger bei einer erfolgreichen Uberprufung der digita- 
len Signatur die Garantie, dass die Meldung 90 nicht verandert wurde 
(Integritat). 

15 Da nur der Hersteller einer Signatur im Besitz seines privaten 

Schlussels 91 ist, kann nur er die Digitale Signatur 92 herstellen. Dies bedeu- 
tet, dass der Empfanger, der die Digitale Signatur 92 besitzt, nachweisen kann, 
dass nur der Absender die Signatur herstellen konnte (Nichtabstreitbarkeit des 
Informationsursprungs). 

20 Zertifizierung des dffentlichen Schlussels 

Die Digitale Signatur 92 ermdglicht also die Nichtabstreitbarkeit des 
Ursprungs und die Integritatsgarantie einer Meldung 90. Nun bleibt aber noch 
ein Sicherheitsproblem, namlich die Echtheitsgarantie des offentlichen Schlus- 
sels 97 des Absenders. Bis jetzt hat namlich der Empfanger keine Garantie 
25 dafur, dass der Sffentliche Schltissel 97 tatsachlich derjenige des Absenders 
ist. Die Signatur kann zwar gultig sein, der damit verbundene dffentliche 
Schlussel 97 kfinnte aber theoretisch von einem Betruger stammen. 


30 


Der EmpfSnger einer Meldung 90 braucht also die Gewissheit, dass 
der dffentliche Schlussel 97 des Absenders, in dessen Besitz er ist, tatsSchiich 
dem richtigen Absender gehort. Diese Gewissheit kann er auf verschiedene 
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Weise eriangen. Eine Moglichkeit ist, dass der Absender ihm den offentlichen 
Schlussel 97 irgendwann einmal personlich ubergeben hat. Oder der Empfan- 
ger ruft den Absender an und vergleicht z.B. die ersten 10 Stellen des offentli- 
chen Schiussels. Diese Methoden sind jedoch umstandiich und bedingen, dass 
5 sich die Benutzer entweder schon kennen oder sich vorher getroffen haben. 

Besser ware es, wenn es eine Instanz gabe. welche die Zugehorig- 
keit eines offentlichen Schiussels zu einer gewissen Person garantiert. Diese 
Instanz wird Zertifizierungsinstanz (Certification Authority / CA) genannt und 
burgt dafur, dass ein bestimmter offentlicher Schlussel 97 einer bestimmten 

10 Person gehort. Sie tut dies, indem sie ein sog. Zertifikat 98 des offentlichen 
Schiussels 97 herstellt (Figur 12). Es besteht im Wesentlichen aus dem offent- 
lichen Schlussel und dem Namen des Besitzers. Das Ganze wird dann von der 
Zertifizierungsinstanz signiert (Signatur 98). Durch die Zertifizierung bindet die 
CA also einen offentlichen Schlussel 97 an einen bestimmten Absender 

15 (Kunden, POT oder Server). Fur alle Benutzer wird so von der CA ein Zertifikat 
des offentlichen Schiussels ausgestellt. Diese Zertifikate sind fur alle Benutzer 
zuganglich. 

Durch die Oberprufung der digitalen Signatur 99 des Zertifikates des 
Absenders sowie der Signatur 92 der Meldung selbst hat der Empfanger den 
20 Beweis, dass die Meldung 90 von demjenigen unterschrieben wurde, fur den er 
sich ausgibt (Authentifikation). 

Es ist zu beachten, dass die Schlusselzertifikate 98 nicht speziell ge- 
schutzt werden mussen, da sie unfaischbar sind. Falls der Zertifikatsinhalt 
namlich verSndert wurde, merkt dies der Empfanger, da die Signatur 99 nicht 
25 mehr korrekt ist. Und da niemand ausser der CA den privaten Schlussel der CA 
hat, ist es niemandem moglich, die Signatur der CA zu falschen. 

Es gibt verschiedene Moglichkeiten, wie die Schlusselzertifikate 98, 
99 verbreitet werden. Eine M6glichkeit ist, die Zertifikate 98, 99 mit jeder Mel- 
dung mitzuschicken. 
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Mit Hilfe der oben beschriebenen Techniken konnen also zwei ein- 
ander unbekannte Kunden, POT und Server gegenseitig Informationen austau- 
schen, und dies auf eine sichere Art und Weise. 

Verteilung des offentlichen Schlussels der Zertifizierungs- 

5 instanz 

Nun bleibt noch ein letztes Problem. Wie im vorhergehenden Kapitel 
beschrieben. uberpruft der Empfanger einer Meldung das Zertifikat des Absen- 
ders. Dazu benotigt er den offentlichen SchlCissel der Zertifizierungslnstanz. 
Die CA konnte nun zwar ihren eigenen offentlichen Schlussel zertifizieren, dies 

10 macht aber wenig Sinn, da es ja jedem moglich ist, selber ein SchlCisselpaar zu 
generieren und selbst ein CA-Zertifikat (mit dem entsprechenden Namen der 
CA) herzustellen. Fur den offentlichen Schlussel der CA gibt es also kein 
eigentliches Zertifikat. Diese Tatsache eriaubt theoretisch einem Kriminellen, 
sich als Zertifizierungsinstanz auszugeben und so falsche Schlusselpaare und 

15 Zertifikate herzustellen und zu verteilen. Darum muss der offentliche Schlussel 
der Zertifizierungsinstanz auf einem sicheren Weg zum Benutzer gelangen. 
Der Benutzer muss uberzeugt sein, den richtigen Schlussel der CA zu besit- 
zen. 

Eine Losung, die sich sofort anbietet. ist, den fiffentlichen Schlussel 
20 der Zertifizierungsinstanz in der SIM-Karte des Benutzers zu speichern. Jener 
kann zwar (im Gegensatz zum privaten SchlQssel des Benutzers) gelesen, aber 
nicht uberschrieben Oder geldscht werden. Dies wird durch die spezielle 
Architektur des Chips 101 erreicht 

Obermittlung einer digital signierten Meldung ohne Chiffrierung: 
25 Zusammenfassung 

• Der Absender unterschreibt die Meldung 90 mit seinem privaten. 
auf der Karte 10 gespeicherten Schlussel 91, urn dessen Ur- 
sprung zu bestatigen. 
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• Die Originalmeldung 90 wird zusammen mit der Signatur 92 und 
dem signierten Zertifikat 98, 99 des Absenders an den EmpfSnger 
gesendet (Pfeil 80). 

• Der Empfanger uberpruft die Digitale Signatur 92 des Dokumen- 

5 tes 90 mit Hilfe des im Zertifikat 98 des Absenders mitgeschickten 

offentlichen Schlussels 97 des Absenders. 

• Ausserdem versichert er sich der Echtheit des offentlichen 
Schlussels 97 des Absenders, indem er die Digitale Signatur 99 
des Zertifikats 98 uberpruft. Dazu verwendet er den offentlichen 

10 Schlussel 81 der Zertifizierungsinstanz. 

Chtffrierung der Meldung 

Urn die Vertraulichkeit einer Obermittlung. d.h. den Schutz vor der 
Einsichtnahme durch Unbefugte, zu gewahrleisten, muss die Meldung ver- 
schlusselt (chiffriert) werden. Dafur gibt es theoretisch zwei Moglichkeiten. Man 
15 kOnnte die Meldung mit dem Sffentlichen Schlussel des EmpfSngers verschlus- 
seln. Da nur der Empfanger im Besitz des dazugehSrigen privaten Schlussels 
ist, kann folglich nur er die Meldung entschlusseln. Nun ist es aber so, dass die 
asymmetrischen Chiffrieralgorithmen im Vergleich zu den symmetrischen sehr 
iangsam sind. 

20 Darum wird vorzugsweise ein symmetrischer Algorithmus fur die 

Chiffrierung der Meldung benutzt (Figur 13). Der Absender einer Meldung 90 
generiert einen symmetrischen Schlussel 83, mit dessen Hilfe er die Meldung 
90 verschlusselt. Diese symmetrische Verschlusselung nimmt nur einen 
Bruchteil der Zeit in Anspruch, die bei der Verwendung eines asymmetrischen 

25 Algorithmus benOtigt wurde. Der Empfanger muss denselben symmetrischen 
Schlussel kennen. Er muss ihm also ubermittelt werden, und zwar verschlus- 
selt, da sonst ein Betruger den Schlussel 83 bei der Obertragung mitlesen und 
die empfangene Meldung 86 entschlusseln konnte. Darum wird der symmetri- 
sche Schlussel 83, der sogenannte Session Key, mit dem offentlichen SchlCis- 

30 sel 84 des EmpfSngers verschlusselt. Der so entstandene verschlusselte Ses- 
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sion Key wird auch Token 85 genannt. Das Token 85 enthalt also den fur die 
Chiffrierung der Meldung 90 benCitzten symmetrischen Schlussel 83, ver- 
schlusselt mit dem Cffentlichen (asymmetrischen) Schlussel 84 des Empfan- 
gers. Das Token 85 wird zusammen mit der verschlusselten Meldung 86, der 
5 Signatur 92 und dem Zertifikat 98, 99 ubermittelt. 

Der Empfanger entschlusselt das Token 85 mit seinem privaten 
Schlussel. So erhait er den fur das Entschlussein der Meldung benOtigten 
symmetrischen Schlussel 83. Da nur er den privaten Schlussel hat, kann nur er 
die Meldung dechiffrieren. 

10 Ubermittlung einer digital signierten Meldung mit Chiffrierung: 

Zusammenfassung 


Absender: 


Der Absender unterschreibt die Meldung 90 mit seinem privaten 
Schlussel 91. 


15 


Dann verschlusselt er die Meldung 90 mit einem von ihm gene- 
herten symmetrischen Schlussel 83. 


# 


Diesen symmetrischen Schlussel verschlusselt er dann mit dem 
offentlichen Schlussel 84 des Empfangers. Daraus entsteht das 
Token 85. 


Die Originalmeldung 90 wird dann, zusammen mit dem der 
Signatur 92, dem Token 85 und dem signierten Zertifikat 98, 99, 
an den Empfanger gesendet. 


EmpfSnger: 


25 


• Der Empfanger entschlusselt zuerst das Token 85 mit seinem pri- 
vaten Schlussel. 
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• Mit dem daraus gewonnenen symmetrischen Schlussel 83 ent- 
schlusselt er die Meldung 90. 


• Nun uberpruft er die Digitale Signatur 92 der Meldung 90 mit Hilfe 
des im Zertifikat 98 des Absenders enthaltenen offentlichen 
5 Schlussels 97. 


• Ausserdem versichert er sich der Echtheit des offentlichen 
Schlussels 97 des Absenders, indem er die Digitale Signatur 99 
des Zertifkats 98 durch die Zertifizierungsinstanz uberpruft. Dazu 
verwendet er den Sffentlichen Schlussel 81 der Zertifizierungsin- 
10 stanz. 

Revocation List / UngultigkeitserklMrung von Zertifikaten 


Nehmen wir an. einem Kunden wird seine SIM-Karte, welche seinen 
privaten Schlussel 91 enthalt. gestohlen. Der Einbrecher kann nun diesen pri- 
vaten Schlussel einsetzen und sich fur den Bestohlenen ausgeben, ohne dass 

15 dies der Empfanger merkt. Darum braucht es einen Mechanismus, urn alien 
Benutzern mitzuteilen, dass das zum gestohlenen privaten Schlussel 91 gehd- 
rige Zertifikat nicht mehr gultig ist Dies geschieht mittels einer sogenannten 
Liste von ungultigen Zertifikaten, einer oben erwahnten Certificate Revocation 
List (CRL). Sie wird von der CA digital signiert und veroffentlicht, d.h., sie wird 

20 alien POT und Servern zuganglich gemacht. Jeder Empfanger einer Meldung 
von einem Kunden muss nun also zusatzlich zu der Oberprufung der Signatur 
und des Zertifikats des Absenders kontrollieren, ob letzteres sich nicht in der 
Revokation List befindet, d.h., ob es nicht ungultig ist. 

Damit die Revokation List nicht zu gross wird, werden statt des gan- 
25 zen Zertifikats nur die Seriennummer sowie das Datum, an dem das Zertifikat 
fur ungultig erklart wurde. eingefugt. Die Liste besteht also aus Seriennummern 
und Ungultigkeitserklarungsdaten, welche am Schluss von der CA digital 
signiert werden. Vorhanden sind ebenfalls das Veroffentlichungsdatum der 
Liste und der Name der CA. 


wo 98/37524 


38 


PCT/CH98/(M)086 


Das Trust Center und Trusted-Third-Party-Dienste 


Wie wir oben gesehen haben, braucht es in einem offenen und ver- 
teilten System von vielen Benutzern, in dem zwei Benutzer, die uber kein ge- 
meinsames Vertrauensverhaltnis verfugen, sicher miteinander kommunizieren 

5 wollen, eine dritte Stelle, die diesen Benutzern gewisse Sicherheitsdienste zur 
Verfugung stellt, da namlich sonst fur die Benutzer der Aufwand zu gross wird, 
selber die notwendigen SchlCissel auszutauschen und zu verwalten. Diese 
Stelle wird Trust Center oder Trusted-Third-Party (TTP) genannt und die Dien- 
ste, die sie anbietet, warden als TTP-Dlenste bezeichnet. Die CA ist z.B. ein 

10 solcher Dienst. Die TTP ubernimmt die Schlusselverwaltungsaufgaben fur die 
Benutzer und geniesst darum deren Vertrauen. TTP-Dienste dienen also zur 
Sicherung von diversen Applikationen und Protokollen. 


Die Bestandteile einer Trusted-Third-Party sind: 


• Registrierungsinstanz (RA): Er identifiziert die Benutzer, nimmt 
15 ihre Daten auf und leitet sie an die Zertifizierungsinstanz welter. 

Die Identifikation der Benutzer ist notig, da ja die CA dafur garan- 
tiert, dass ein bestimmter dffentlicher Schlussei einer bestimmten 
Person gehort. Dafur muss sich diese Person aber zuerst identifi- 
zieren. 


20 • Zertifizierungsinstanz (CA): Sie stellt die Schlusselzertifikate und 

Revocation Lists her. Diese werden anschliessend zur VerSffentli- 
chung in ein Verzeichnis abgelegt oder direkt dem Benutzer zu- 
gesandt. 

• Schlusselgenerierungsdienst: Er generiert die Schlussei fur die 
25 Benutzer. Der private Schlussei wird auf einem sicheren Kanal 

dem Benutzer ubergeben, der offentliche Schlussei wird an die 
CA gesandt zwecks Zertifizierung. 
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• Schlusselpersonalisierungsdienst: Er legt die privaten Schlussel 
in einem Modul (z.B. einer Chipkarte) ab, urn sie vor unbefugtem 
Zugriff zu schutzen. 

Schlusselhinterlegungsdienst (Key Escrow): Er speichert eine 
Kopie der verwendeten Schlussel (zwecks Ruckerstattung im 
Falle eines Verlusts Oder zwecks „Abhoren" der Polizei aus 
Staatsschutz- oder Verbrechensbekampfungsgrunden). 

• Archivierungsdienst: Er archiviert die Schlusselzertifikate (zwecks 
langfristiger Garantie der Uberprufbarkeit von digitaien Signatu- 

10 ren). 

• Verzeichnisdienst: Er stellt den Benutzem Schlusselzertifikate 
und Revocation Lists zur Verfugung. 


5 


• Notariatsdienste fur 

1 . Sende- und Empfangsbeweis 
15 2. Zeitstempel 

3. Beglaubigung der inhaltlichen Korrektheit (analog zu 
bestehenden Notariatsdiensten 


In den oben geschilderten Ablaufen steht haufig geschrieben „Der 
Empfanger uberpruft die Signatur" oder „Der Absender verschlusselt die Mel- 
20 dung". Naturlich muss der Benutzer all diese Funktionen im Normalfall nicht 
explizit selber ausfuhren, sondem das Mobilsystem 1.10 bzw. der Finanzser- 
ver 4 macht das fur ihn automatisch. 
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Anspruche 

1 . Transaktionsverfahren zwischen einem Kunden und einem fixen 
Point-of-Transaktions-Ger§t (POT-Gerat) (2), wobei das Verfahren die Uber- 

5 mittlung von mindestens einer Kundenidentifizierung, einer POT-Geratidentifi- 
zierung (POSID) und transaktionsspezifischen Daten (A) an einen durch ein 
Telekommunikationsnetz (5) mit dem benannten POT-Gerat (2) verbundenen 
Server (4) umfasst, 

dadurch gekennzeichnet, dass die POT-GerStidentifizierung 
10 (POSID) im POT-GerSt (2) gelesen oder erfasst wird und durch das genannte 
Telekommunikationsnetz (5) an den Server (4) ubermittelt wird, 

dass der Kunde mit einem tragbaren Identifizierungseiement (10) 
ausgerustet ist, das mindestens einen Prozessor (100, 101) enthalt und funk- 
tionell mit einem Mobilgerat (1 ; 24) kooperieren kann, um Kurzmeldungen 
15 durch ein Mobilfunknetz (6) zu senden und/oder zu empfangen, 

und dass die Kundenidentifizierung (IDUl) im Speicher des Identifi- 
zierungselementes (10) gespeichert ist und uber mindestens eine kontaktlose 
Schnittstelle (101-20 ; 6) an den Server (4) ubermittelt wird. 

2. Transaktionsverfahren gemass Anspruch 1, dadurch gekenn- 

20 zeichnet, dass die Kundenidentifizierung (IDUl) und/oder die POT-Geratidenti- 
fizierung (POSID) uber eine kontaktlose Schnittstelle (101-20) zuerst zwischen 
dem Identifizierungseiement (1,10) und dem POT-Gerat (2) ubermittelt und 
dann zusammen mit transaktionsspezifischen Daten (A) in einem elektroni- 
schen Transaktionsbeleg verknupft werden, der durch das genannte Telekom- 

25 munikationsnetz (5) an den benannten Server (4) ubermittelt wird. 

3. Transaktionsverfahren gemass dem vorhergehenden Anspruch, 
dadurch gekennzeichnet, dass das Identifizierungseiement (10) eine SIM-Karte 
ist. 
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4. Transaktionsverfahren gemass dem Anspruch 2, dadurch gekenn- 
zeichnet, dass das Identifizierungselement ein Transponder (10') ist. 

und dass das Mobilgerat (24) im POT-Gerat (2) enthalten ist. 

5. Transaktionsverfahren gemass dem vorhergehenden Anspruch, 
5 dadurch gekennzeichnet, dass die Kundenidentifizierung (IDUl) im Transpon- 
der (10') gelesen wird, durch die benannte kontaktlose Schnittstelle (101-20) 
an das POT-Gerat (2") ubertragen wird, und im POT-Gerat mit einer POT-Ge- 
ratidentifizierung (POSID) und mit den benannten transaktionspezifischen Da- 
ten (A) in dem an den benannten Server (4) ubermittelten Transaktionsbeleg 

10 verknupft wird. 

6. Transaktionsverfahren gemass einem der vorhergehenden An- 
spruche. dadurch gekennzeichnet, dass das Identifizierungselement (10, 10') 
uber eine integrierte Spule mit dem POT-Gerat (2) kommuniziert. 


7. Transaktionsverfahren gemass Anspruch 3, dadurch gekenn- 

15 zeichnet, dass die SIM-Karte (10) mit Hilfe einer im Mobilgerat (1) integrierten 
Spule mit dem POT-Gerat (2) kommuniziert. 

8. Transaktionsverfahren gemass Anspruch 3, dadurch gekenn- 
zeichnet, dass die SIM-Karte (10) mit Hilfe eines im Mobilgerat (1) integrierten 
infraroten Sender-Empfanger mit dem POT-Gerat (2) kommuniziert. 

20 9. Transaktionsverfahren gemass einem der vorhergehenden An- 

spruche, dadurch gekennzeichnet, dass mindestens gewisse Daten, die uber 
die benannte kontaktlose Schnittstelle (101-20) zwischen dem POT-Gerat (2) 
und dem Identifiziemngselement (10, 10') ubertragen werden, verschlusselt 
werden. 


25 


10. Transaktionsverfahren gemass einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, dass die durch das benannte Telekommuni- 
kationsnetz (5) ubertragenen Transaktionsbelege verschlusselt werden. 
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1 1 . Transaktionsverfahren gemass dem vorhergehenden Anspruch, 
dadurch gekennzeichnet, dass die durch das benannte Telekommunikations- 
netz (5) ubertragenen Transaktionsbelege wShrend der Ubertragung nicht ent- 
schlusselt warden. 

5 12. Transaktionsverfahren gemass dem vorhergehenden Anspruch, 

dadurch gekennzeichnet, dass die Transaktionsbelege (90) mit einem symme- 
trischen Algorithmus verschlusselt werden, wobei der symmetrische Algo- 
rithmus einen mit einem asymmetrischen Algorithmus verschlusselten Session 
Key (83) benutzt. 

10 13. Transaktionsverfahren gemass einem der vorhergehenden An- 

spruche, dadurch gekennzeichnet, dass die durch das benannte Telekommuni- 
kationsnetz (5) ubertragenen Transaktionsbelege zertifiziert werden. 

14. Transaktionsverfahren gemass einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, dass die durch das benannte Teiekommuni- 

15 kationsnetz (5) ubertragenen Transaktionsbelege eine vom Server nachpruf- 
bare elektronische Signatur des Identifizierungselements (10) enthalten. 

15. Transaktionsverfahren gemass einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, dass die durch das benannte Telekommuni- 
kationsnetz (5) ubertragenen Transaktionsbelege eine vom Server nachpruf- 

20 bare elektronische Signatur des POT-Gerats (10) enthalten. 

16. Transaktionsverfahren gemass einem der Anspruche 10 bis 15. 
gekennzeichnet durch folgende Schritte : 

Herstellung des Hashwertes (93) von den Transaktionsbelegen (90), 

Chiffrierung dieses Hashwerts (93) mit einem auf dem Identifizie- 
25 rungselement (10) gespeicherten privaten Schlussel (91 ), 

Signierung der Transaktionsbelege (90) mit dem chiffrierten 
Hashwert (92). 
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17. Transaktionsverfahren gemass einem der Anspruche 2 bis 16, 
dadurch gekennzeichnet, dass die Transaktionsbelege uber eine Clearingein- 
heit (3) an den Server (4) ubermittelt werden. 

18. Transaktionsverfaiiren gemSss dem vorliergehenden Anspruch, 
5 dadurch gekennzeichnet, dass die Datenelemente (IDUl), die fur das Clearing 

in der benannten Ciearingeinheit (3) benotigt werden, nicht verschlusselt wer- 
den, so dass die Ciearingeinheit die Transaktionsbelege nicht entschlussein 
muss. 

19. Transaktionsverfahren gemass einem der vorhergehenden An- 
10 spruche, dadurch gekennzeichnet, dass die transaktionsspezifischen Daten (A) 

im POT-Gerat (2) gelesen Oder erfasst werden. 

20. Transaktionsverfahren gemass einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, die transaktionsspezifischen Daten (A) im 
Mobilgerat (1 ) gelesen Oder erfasst werden. 

15 21 . Transaktionsverfahren gemass einem der vorhergehenden An- 

spruche, dadurch gekennzeichnet, dass der Server (4) eine Kundenschwarzli- 
ste speichert, und dass das Verfahren unterbrochen wird, wenn die empfan- 
gene Kundenidentifizierung (IDUl) in der Kundenschwarzliste enthalten ist. 

22. Transaktionsverfahren gemass einem der vorhergehenden An- 
20 spruche, dadurch gekennzeichnet, dass der Server (4) eine POT-Schwarzliste 

speichert, und dass das Verfahren unterbrochen wird, wenn die empfangene 
POT-Geratidentifizierung (POSID) in der Kundenschwarzliste enthalten ist. 

23. Transaktionsverfahren gemass einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, dass das POT-Gerat (2) eine vom Server 

25 (4) aktualisierte Kundenschwarzliste speichert, und dass das Verfahren unter- 
brochen wird, wenn die Kundenidentifizierung (IDUl) in der Kundenschwarzliste 
enthalten ist. 
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24. Transaktionsverfahren gemSss einem der Anspruche 21 bis 23. 
dadurch gekennzeichnet, dass das Identifizierungselement mindestens teil- 
weise gesperrt wird, wenn die Kundenidentifizierung in einer Kundenschwarz- 
liste im POT-GerSt und/oder im Server (4) entlialten ist. 

5 25. Transaktionsverfahren gemass einem der vorhergehenden An- 

spruche, dadurch gekennzeichnet, dass das Identifizierungselement (10) ein 
Stack mit Daten uber bereits durchgefuhrte Transaktionen enthalt, 

und dass diese Daten vom Server (4) abgerufen werden konnen. 

26. Transaktionsverfahren gemass einem der vorhergehenden An- 
10 sprCiche, dadurch gekennzeichnet, dass die transaktionspezifischen Daten ei- 

nen Geldbetrag (A) enthalten, dass der Server (4) von einem Finanzinstitut 
verwaltet v^ird, und dass ein auf dem Identifizierungselement (10) gespeicherter 
Geldbetrag wahrend der Transaktion abgebucht wird. 

27. Transaktionsverfahren gemass dem vorhergehenden Anspruch, 
15 dadurch gekennzeichnet, dass der auf dem Identifizierungselement (1 0) ge- 

speicherte Geldbetrag (A) uber das genannte Mobilfunknetz (6) mit Nachlade- 
belegen aus dem Server (4) nachgeladen werden kann. 

28. Transaktionsverfahren gemSss Anspruch 26, dadurch gekenn- 
zeichnet, dass der Geldbetrag (A) in einer StandardwShrung angegeben wird. 

20 29. Transaktionsverfahren gemSss einem der vorhergehenden An- 

spruche, dadurch gekennzeichnet, dass die transaktionsspezifischen Daten 
aus dem POT-GerSt (2) an den Server (4) uber eine andere kontaktlose 
Schnittstelle ubermittelt werden, als die transaktionsspezifischen Daten aus 
dem Mobilsystem (10). 

25 30. Transaktionsverfahren gemass einem der Anspruche 4 bis 29, 

dadurch gekennzeichnet, dass mindestens gewisse Daten aus dem Server (4) 
durch ein Mobilfunknetz (6) an das Mobilgeratteil (24) des POT-Gerates (2") 


wo 98/37524 


45 


PCT/CH98/00086 


ubertragen werden und von diesem in den Transponder (10") weitergeleitet 
werden. 

31. Mobilsystem (1,10 ; 10'), das fur das Transaktionsverfahren ge- 
mass einem der vorhergehenden Anspruche in Anwendung gebracht werden 
5 kann, enthaltend : 

- mindestens einen Prozessor (100. 101) mit einem Speicherbereich, 
in welchem eine Kundenidentifizierung (IDUl) gespeichert ist, 

- elektronische Empfangsmittel, urn uber ein Mobilfunknetz (6) uber- 
tragene spezielle Kurzmeldungen zu empfangen, 

10 - elektronische Signierungsmittel, urn Transaktionsbelege, die min- 

destens die Kundenidentifizierung (IDUl) enthalten, mit einer elektronischen 
Signatur zu versehen, 

- eine kontaktlose Schnittstelle (101), urn die signierten Trans- 
aktionsbelege an ein POT-Gerat (2) weiterzuleiten. 

15 32. Mobilsystem gemass dem vorhergehenden Anspruch, dadurch 

gekennzeichnet, dass die genannten Signierungsmittel folgende Elemente 
umfassen : 

- ein in dem genannten Speicher gespeicherter privater Schlussel 

(91). 

20 - Mittel, um aus einem unverschlusselten Transaktionsbeleg (90) ei- 

nen Hashwert (93) herzustellen, 

- Mittel. um den Hashwert (93) mit dem genannten privaten Schlus- 
sel (91) zu chiffrieren und um den Transaktionsbeleg mit dem chiffrierten 
Hashwert (92) zu signieren, 
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33. Mobilsystem gemass einem der Anspruche 31 Oder 32, dadurch 
gekennzeichnet, dass die elektronischen Empfangsmittel ein Mobilgerat (1) 
und eine SIM-Karte (10) umfassen. 

34. Mobilsystem gemass dem vorhergehenden Anspruch, dadurch 
5 gekennzeichnet, dass die kontaktlose Schnittstelle einen infraroten und/oder 

induktiven Sender-Empfanger im Mobilgerat (1) umfasst 

35. Mobilsystem gemass einem der Anspruche 31 oder 32. dadurch 
gekennzeichnet, dass es aus einem Transponder (10*) besteht, und dass die 
kontaktlose Schnittstelle einen induktiven Sender-Empfanger umfasst. 

10 36. Mobilsystem gemSss einem der Anspruche 33 bis 35, dadurch 

gekennzeichnet, dass die SIM-Karte (10) eine Wertkarte ist. 

37. Clearingseinheit (3), dadurch gekennzeichnet, dass es Trans- 
aktionsbelege von einer Region empfflngt, in Abhangigkeit von einer enthalte- 
nen Kundenidentifizierung (IDUl) nach dem entsprechenden Finanzinstitut (4) 
15 zuordnet und diesem Finanzinstitut weiterleitel. 
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